Cuma günü ABD Menkul Kıymetler ve Borsa Komisyonu’na sunulan yeni bir dosyada 23andMe, olaya ilişkin soruşturmasına dayanarak bilgisayar korsanlarının müşteri tabanının %0,1’ine eriştiğini belirlediğini söyledi.
Şirketin en son yıllık kazanç raporuna göre 23andMe’nin “dünya çapında 14 milyondan fazla müşterisi” var, bu da %0,1’inin 14.000 civarında olduğu anlamına geliyor.
Ancak şirket ayrıca, bilgisayar korsanlarının bu hesaplara erişerek “23andMe’nin DNA Akrabaları özelliğini etkinleştirirken paylaşmayı seçtikleri, diğer kullanıcıların soylarıyla ilgili profil bilgilerini içeren önemli sayıda dosyaya” da erişebildiğini söyledi.
Şirket, bu “önemli sayıdaki” dosyanın ne olduğunu veya bu “diğer kullanıcıların” kaçının etkilendiğini belirtmedi.
Ekim ayı başlarında 23andMe, bilgisayar korsanlarının “kimlik bilgisi doldurma” olarak bilinen yaygın bir teknik kullanarak bazı kullanıcıların verilerini çaldığı bir olayı açığa çıkardı; bu teknikte siber suçlular, bilinen bir şifreyi kullanarak bir kurbanın hesabına giriyor ve muhtemelen başka bir hesaptaki veri ihlali nedeniyle sızdırılmış oluyor.
Ancak hasar, hesaplarına erişilen müşterilerle sınırlı kalmadı. 23andMe, kullanıcıların DNA Akrabaları adı verilen bir özelliği seçmelerine olanak tanıyor. Bir kullanıcı bu özelliği tercih ederse, 23andMe o kullanıcının bazı bilgilerini başkalarıyla paylaşır. Bu, bilgisayar korsanlarının bir kurbanın hesabına erişerek o ilk kurbanla bağlantılı kişilerin kişisel verilerini de görebildiği anlamına geliyor.
23andMe, dosyada ilk 14.000 kullanıcı için çalınan verilerin “genel olarak soy bilgilerini ve bu hesapların bir alt kümesi için kullanıcının genetiğine dayanan sağlıkla ilgili bilgileri içerdiğini” söyledi. Diğer kullanıcı alt kümesi için 23andMe yalnızca bilgisayar korsanlarının “profil bilgilerini” çaldığını ve ardından belirtilmemiş “belirli bilgileri” çevrimiçi olarak yayınladığını söyledi.
23andMe’nin veri ihlalinde bazı akrabalarının bilgilerinin açığa çıktığı bir şecere web sitesinin sahibi, 23andMe aracılığıyla yaklaşık 5.000 akrabasının keşfedildiğini söyledi ve “korelasyonlarımızın bunu hesaba katabileceğini” söyledi.
Veri ihlaline ilişkin haberler, bilgisayar korsanlarının bir milyon Aşkenazi kökenli Yahudi kullanıcı ve 100.000 Çinli kullanıcıya ait olduğu iddia edilen verileri tanınmış bir bilgisayar korsanlığı forumunda tanıttığı Ekim ayında internette ortaya çıktı. Yaklaşık iki hafta sonra, çalınan ilk kullanıcı verilerinin reklamını yapan aynı bilgisayar korsanı, dört milyon kişinin daha iddia edilen kayıtlarının reklamını yaptı. Bilgisayar korsanı, bireysel kurbanların verilerini 1 ile 10 dolar arasında satmaya çalışıyordu.
Farklı bir bilgisayar korsanlığı forumunda başka bir bilgisayar korsanının, ilk olarak Ekim ayında haber kuruluşları tarafından bildirilen reklamdan iki ay önce, çalındığı iddia edilen kullanıcı verilerinin daha da fazlasının reklamını yaptığını tespit edildi. İlk reklamda, bilgisayar korsanı 300 terabaytlık 23andMe kullanıcı verisinin çalındığını iddia etti ve tüm veritabanını satmak için 50 milyon dolar veya verilerin bir alt kümesi için 1.000 ile 10.000 dolar arasında bir ücret talep etti.
Veri ihlaline yanıt olarak 10 Ekim’de 23andMe, kullanıcıları şifrelerini sıfırlamaya ve değiştirmeye zorladı; bu, onları çok faktörlü kimlik doğrulamayı açmaya teşvik etti. Ve 6 Kasım’da şirket, yeni başvuruya göre tüm kullanıcıların iki adımlı doğrulamayı kullanmasını zorunlu kıldı.
23andMe ihlalinin ardından diğer DNA test şirketleri Ancestry ve MyHeritage, iki faktörlü kimlik doğrulamayı zorunlu kılmaya başladı.