Biyoteknoloji firması 23andMe’nin müşteri hesapları geçtiğimiz yıl bilgisayar korsanları tarafından ihlal edilmiş ve DNA test şirketinin bu saldırıyı tespit etmesi beş ay sürmüştü. Geçen hafta veri ihlali bildiriminde bulunan şirket, saldırıyı ancak ekim ayında fark ettiğini açıkladı.
Dosyaya göre, bilgisayar korsanları Mayıs 2023'te başlayan ve eylül ayına kadar devam eden bir saldırı düzenledi. Yaklaşık 7 milyon kullanıcı ya da müşteri tabanının yaklaşık yarısı etkilendi.
Dosyaya göre şirket, çalınan müşteri verilerinin Reddit'te ve darkweb forumu BreachForums'da ilan edilmesinin ardından saldırıdan haberdar oldu.
23andMe, saldırıdan ekim ayında haberdar olduktan sonra hemen soruşturmaya başladığını ve federal kolluk kuvvetleriyle temasa geçtiğini söyledi.
Başvuruda şu ifadeler yer aldı: "10 Ekim'de tüm 23andMe müşterilerinden şifrelerini sıfırlamalarını istedik. 6 Kasım'da, tüm yeni ve mevcut müşterilerin iki aşamalı doğrulama kullanarak giriş yapmalarını istedik."
23andMe, yaptığı soruşturmada müşterilerin kişiler verileriyle ilgili bilgilerine erişildiğini tespit ettiğini söyledi. Şirket, daha sonra ihlalin mağdurları tarafından açılan bir dizi dava ile karşı karşıya kaldı.
VERİ İHLALİ İÇİN MÜŞTERİLERİ SUÇLADI
23andMe daha önce yaptığı açıklamada, bilgisayar korsanlarının kimlik bilgileri doldurma yoluyla müşteri verilerine erişim sağladığını söylemişti.
23andMe tarafından yapılan açıklamada, "Kimlik bilgisi doldurma, tehdit aktörlerinin başka bir tarafın sistemlerine erişim sağlamak için daha önce ele geçirilmiş kullanıcı kimlik bilgilerinin listelerini kullandığı bir saldırı yöntemidir" denildi. Biyoteknoloji firmasının veri ihlali için müşterileri suçladığı bildirildi.
Edinilen bilgilere göre şirket, bir grup mağdura gönderdiği mektupta "Kullanıcılar 23andMe ile ilgisi olmayan bu geçmiş güvenlik olaylarının ardından şifrelerini ihmal ederek geri dönüştürmüş ve güncellememiştir" ifadelerini kullandı.
2006 yılında kurulan 23andMe, genetik yatkınlıkları, soyu ve kalıtsal özellikleri test edebilen tükürük testleriyle tanındı. Şirket, anonimleştirilmiş kullanıcı verilerini kullanıcıların rızası ile üçüncü taraflarla paylaşıyor.