Kaliforniya, Eski 23andMe'ye Veri İhlali Nedeniyle Dava Açtı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Kaliforniya Eski 23andMe'ye Veri İhlali Davası Açtı

Kaliforniya Başsavcısı Rob Bonta, şimdiki adıyla Chrome Holding Co. olan genetik test devi 23andMe'ye, yaklaşık 7 milyon kullanıcının hassas genetik verilerini ifşa eden 2023'teki sızıntı nedeniyle dava açtı. Dava, şirketin güvenlik önlemlerinin yetersiz olduğunu iddia ediyor.

Kaliforniya Başsavcılığı binası önünde 23andMe logosu ve kırık bir kalkan simgesi.

Ne Oldu

İşler 23andMe için iyice sarpa sardı. Zaten aylardır veri ihlali skandalıyla boğuşan şirket, şimdi de Kaliforniya eyaletinin gazabıyla yüzleşiyor. Başsavcı Rob Bonta, bir zamanların popüler genetik test firması, şimdiki adıyla Chrome Holding Co. olan şirkete karşı ciddi bir dava açtığını duyurdu. Peki neden? Çünkü iddialara göre şirket, milyonlarca insanın en mahrem bilgilerini, yani DNA verilerini korumak için üzerine düşeni yapmadı.

Bu dava, sıradan bir siber güvenlik davası değil. Konu, değiştirilmesi mümkün olmayan, insanın en temel yapı taşını oluşturan genetik kodları. Bonta'nın ofisinden yapılan açıklamada, 23andMe'nin yıllardır bilinen bir saldırı türüne karşı "temel güvenlik önlemlerini" almadığı vurgulanıyor. Yani, bu bir sürpriz değildi, geliyorum diyen bir felaketti ve şirket adeta davetiye çıkardı. Dava dosyasında şirketin ihmalkarlığı, Kaliforniya'nın Tüketici Gizliliği Yasası (CCPA) ve diğer yasaları ihlal ettiği öne sürülüyor. Bu, sadece para cezasıyla bitmeyebilir; şirketin gelecekteki veri işleme pratiğini kökünden değiştirebilecek bir emsal teşkil edebilir. Başsavcı, şirketin sadece zayıf güvenlik uygulamalarına sahip olmakla kalmayıp, aynı zamanda ihlalin ardından kullanıcıları suçlayarak sorumluluktan kaçmaya çalıştığını da iddia ediyor. Bu hamle, eyaletlerin büyük teknoloji ve veri şirketlerine karşı ne kadar sertleşebileceğinin bir göstergesi.

Ele Gecirilen Veriler

Sızdırılan verilerin listesi insanın kanını donduruyor. Bu, bir e-posta ve şifre sızıntısından çok daha fazlası. Saldırganlar, kullanıcıların en kişisel bilgilerine ulaştı. Neler mi var bu listede?

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →
  • Tam Ad ve Soyad: Kimlik hırsızlığı için ilk adım.
  • Doğum Yılı: Sosyal mühendislik ve dolandırıcılık için kilit bilgi.
  • Genetik Köken Sonuçları: Kullanıcıların etnik köken yüzdeleri. Bu bilgi, özellikle belli etnik gruplara yönelik ayrımcılık ve nefret suçları için kullanılabilir.
  • Coğrafi Konum Bilgileri: Atalarının nereden geldiğine dair veriler.
  • Profil Fotoğrafları: Kişisel mahremiyetin doğrudan ihlali.
  • Potansiyel Sağlık Bilgileri: Genetik yatkınlık test sonuçları gibi dolaylı yoldan elde edilebilecek sağlık verileri.
  • Akrabalık Bağlantıları: "DNA Akrabaları" özelliği sayesinde, bir kişinin sızıntısı binlerce akrabasının da ifşa olması anlamına geldi.

Unutmayın, şifrenizi değiştirebilirsiniz. Kredi kartınızı iptal edebilirsiniz. Ama DNA'nızı değiştiremezsiniz. Bu veriler bir kez sızdırıldığında, sonsuza dek oradadır. Saldırganların özellikle Aşkenaz Yahudisi ve Çin kökenli kullanıcıların verilerini hedef alarak listeler oluşturup karanlık ağ forumlarında satması, olayın ne kadar tehlikeli boyutlara ulaşabileceğini gösteriyor. Bu, dijital bir fişlemeden farksız. Şirketin bu kadar hassas veriyi toplarken ne kadar büyük bir sorumluluk aldığını ve bu sorumluluğu yerine getiremediğini görüyoruz. En son Veri Sizintisi Haberleri takip edildiğinde, bu türden genetik veri ihlallerinin sonuçlarının ne kadar yıkıcı olabileceği daha net anlaşılıyor.

Saldirnin Nasil Gerceklesti

Şirketin savunmasının merkezinde yatan bir argüman var: "Bizim sistemlerimiz hacklenmedi, kullanıcılar suçlu." Peki bu ne anlama geliyor? Saldırı, teknik adıyla "credential stuffing" (kimlik bilgisi doldurma) yöntemiyle gerçekleştirildi. Bu yöntemi bir hırsızın elindeki binlerce eski anahtarı, bir mahalledeki tüm kapılarda denemesine benzetebiliriz.

Şöyle işliyor: Saldırganlar, daha önce başka platformlarda (LinkedIn, MyFitnessPal, vb.) gerçekleşen veri sızıntılarından elde ettikleri milyarlarca kullanıcı adı ve şifre kombinasyonunu alıyor. Sonra, bu listeleri otomatik yazılımlar aracılığıyla 23andMe'nin giriş sayfasında deniyorlar. Birçok insan farklı platformlarda aynı şifreyi kullandığı için, bu denemelerin bir kısmı başarılı oluyor. Yani evet, teknik olarak 23andMe'nin sunucularına bir virüs sızmadı. Ama Başsavcı Bonta'nın da belirttiği gibi, asıl sorun tam da bu. 23andMe, bu son derece yaygın ve öngörülebilir saldırı türüne karşı neden yeterli önlem almadı? Neden çok faktörlü kimlik doğrulamayı (MFA) tüm kullanıcılar için zorunlu hale getirmedi? İşte davanın kilit noktası bu.

Daha da kötüsü, saldırganlar bir hesaba sızdıktan sonra durmadı. 23andMe'nin "DNA Akrabaları" özelliği, kullanıcıların genetik olarak bağlantılı olduğu diğer kişileri görmesini sağlıyor. Saldırganlar, ele geçirdikleri az sayıdaki hesabı kullanarak bu özellik üzerinden milyonlarca bağlantılı kullanıcının verilerini kazıdı (scraping). Yani bir kişinin zayıf şifresi, binlerce akrabasının verisinin de çalınmasına yol açtı. Bu, şirketin platform tasarımındaki bir zafiyetin nasıl bir kartopu etkisine yol açtığını gösteriyor.

Etkilenenler Kim

Rakamlar devasa. Toplamda yaklaşık 6.9 milyon kişinin verileri bu ihlalden etkilendi. Bu rakamı ikiye ayırmak gerekiyor:

  1. Doğrudan Etkilenenler: Yaklaşık 1.4 milyon kullanıcı. Bunlar, "credential stuffing" saldırısı sonucu hesaplarına doğrudan sızılan ve genetik sağlık raporları gibi en detaylı bilgilerine erişilen kişiler.
  2. Dolaylı Etkilenenler: Yaklaşık 5.5 milyon kullanıcı. Bu kişiler, hesapları doğrudan hacklenmemiş olsa da, "DNA Akrabaları" özelliği üzerinden profil bilgilerinin (isim, köken, profil fotoğrafı vb.) çalındığı kişiler.

Bu, neredeyse şirketin tüm kullanıcı tabanının bir şekilde etkilendiği anlamına geliyor. Saldırının en rahatsız edici yönlerinden biri ise, saldırganların belirli etnik grupları hedef almasıydı. Karanlık ağda, özellikle "Aşkenaz Yahudisi" ve "Çinli" kökenli kullanıcılara ait veri listeleri satışa çıkarıldı. Bu durum, siber suçun artık sadece finansal kazanç amaçlı olmadığını, aynı zamanda nefret ve ayrımcılık için de bir araç haline geldiğini acı bir şekilde ortaya koyuyor.

Ne Yapabilirsin

Eğer bir 23andMe kullanıcısıysanız ya da geçmişte kullandıysanız, paniğe kapılmadan atmanız gereken bazı adımlar var. İşte size özel, klişe olmayan bir liste:

  • Gerçekten Etkilenip Etkilenmediğini Öğren: Şirketin size bir e-posta gönderip göndermediğini kontrol edin. Ancak bu e-postalara da dikkat edin, dolandırıcılar bu durumu taklit edebilir. En güvenilir yollardan biri, e-posta adresinizin başka sızıntılarda yer alıp almadığını kontrol etmektir. Bunun için güvenilir bir Veri Sizintisi Sorgulama aracı kullanabilirsiniz. Bu, genel dijital hijyeniniz hakkında da size fikir verir.
  • Şifreni Hemen Değiştir ve Farklılaştır: 23andMe şifrenizi derhal değiştirin. Ama daha önemlisi, bu şifrenin başka hiçbir yerde kullanmadığınız, tamamen benzersiz bir şifre olduğundan emin olun. Bir şifre yöneticisi kullanmak bu noktada hayat kurtarır.
  • Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştir: Dava dosyasının da altını çizdiği gibi, bu saldırıyı büyük ölçüde önleyebilecek tek şey buydu. 23andMe hesabınızın güvenlik ayarlarına gidin ve MFA'yı (Google Authenticator, Authy gibi bir uygulama aracılığıyla) hemen şimdi etkinleştirin. Bu, şifreniz çalınsa bile hesabınıza girilmesini engeller.
  • 'DNA Akrabaları' Ayarlarını Gözden Geçir: Bu özelliğin ne kadar büyük bir risk oluşturduğunu gördük. Ayarlarınıza gidip bu özelliğe katılımınızı gözden geçirin. Verilerinizin başka kullanıcılar tarafından ne kadarının görünebileceğini sınırlayabilir veya özelliği tamamen kapatabilirsiniz. Mahremiyetiniz, tanımadığınız uzak bir akrabanızı bulmaktan daha önemli olabilir.

Sirket Ne Diyor

23andMe'nin, krizin başından beri takındığı tavır oldukça tartışmalı. Şirket, defalarca kendi güvenlik sistemlerinin aşılmadığını, sorunun tamamen kullanıcıların zayıf ve tekrar eden şifreler kullanmasından kaynaklandığını savundu. Bir sözcüleri, "Kullanıcıları, şifrelerini yeniden kullanmamaları ve güçlü güvenlik önlemleri almaları konusunda düzenli olarak uyarıyoruz" gibi açıklamalarda bulundu. Bu, teknik olarak doğru olsa da, kamuoyunda "suçu müşteriye atma" olarak algılandı ve büyük tepki çekti.

Kaliforniya Başsavcısı'nın davası da tam olarak bu savunmayı hedef alıyor. Hukuki argüman şu: Milyonlarca insanın en hassas verisini elinde tutan bir şirket, kullanıcıların hata yapabileceğini öngörmek ve buna karşı onları koruyacak sistemler (zorunlu MFA gibi) kurmakla yükümlüdür. Sadece "biz uyardık" demek yeterli değil. Şirketin yakın zamanda adını Chrome Holding Co. olarak değiştirmesi de manidar. Bu hamle, kurumsal bir yeniden yapılanmanın parçası olsa da, birçok kişi bunu 23andMe adının lekelenmesinden sonra bir imaj tazeleme ve skandaldan uzaklaşma çabası olarak yorumluyor. Ancak isim değiştirmek, sorumlulukları ortadan kaldırmıyor. Dava, eski isim yeni isim demeden, şirketin peşini bırakmayacak gibi görünüyor.

Kaynak

https://databreaches.net/2026/05/29/california-ag-bonta-sues-chrome-holding-co-formerly-known-as-23andme-over-2023-data-breach/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Microsoft Defender Saldırıya Uğrayan Cihazları Otomatik Kapatacak Sonraki Yazı → Charter Milyonlarca Müşterisinin Verisini Çaldırdı

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.