Dünyanın önde gelen tüketici DNA toplama kuruluşu 23andMe, yaptığı açıklamada bilgisayar korsanlarının yaklaşık 14.000 kişinin DNA bilgilerinin yanı sıra diğer kullanıcılar hakkındaki “önemli sayıda dosyayı” çaldığını duyurdu. Ancak bu “önemli sayıda” tanımı ilk başta göründüğünden çok daha önemli olabilir. TechCrunch’ın bildirdiğine göre 23andMe, insanların genetik bilgileri de dahil olmak üzere yaklaşık 6,9 milyon kullanıcının verilerini kaybetmiş durumda. Yani, şirketin bildirdiği ilk sayının binlerce kat üzerinde bir sayıya bakıyor olabiliriz.
Bir 23andMe sözcüsü, yayınladığı e-postada, bilgisayar korsanlarının şirketin “DNA Akrabaları” (DNA Relatives) özelliğini etkinleştiren yaklaşık 5,5 milyon kullanıcıdan kişinin adı, doğum yılı, ilişki etiketleri, akrabalarıyla paylaşılan DNA kullanıcılarının yüzdesi, soy raporları ve konumu dahil olmak üzere veri çaldığını doğruladı. DNA Akrabaları’na kaydolan 1,4 milyon kişinin de “Aile Ağacı profil bilgilerine erişildi.”
Sözcü, çalınan verilerin aynı zamanda soy raporları ve eşleşen DNA bölümleri (özellikle kromozomlarında kendilerinin ve akrabalarının eşleşen DNA'ya sahip olduğu yer), ataların doğum yerleri ve aile adları, profil resimleri ve kullanıcıların profillerinin “Kendinizi tanıtın” bölümünde yer alan her şeyi içerebileceğini söyledi. Tüm bunlar, 23andMe'nin, Menkul Kıymetler ve Borsa Komisyonu’na yaptığı başvuruda özellikle belirttiği gibi %0,1’in değil, 14 milyon kullanıcısının yaklaşık yarısına ait verilerin kontrolünü kaybettiği anlamına geliyor.
DNA Akrabaları, platformun kullanıcılara 23andMe hesabına kaydolduklarında sunduğu birçok veri paylaşım özelliğinden yalnızca biri. 23andMe sözcüsü, saldırının bir kimlik bilgisi doldurma saldırısı olduğunu söyledi ve bu da, bilgisayar korsanlarının, insanların 23andMe’ye kaydolurken yeniden kullandıkları kullanıcı adları ve şifreleri kullanarak bireysel hesaplara eriştikleri anlamına geliyor. Şirketlerin bu tür saldırılara karşı savunma yöntemleri kullanmaları mümkün olsa da, ne yazık ki kullanıcılar, aynı şifre ve kullanıcı adını birden fazla yerde kullanarak bu tür saldırıların hedefi olma riskini almış oluyor.
Sözcü, “Sistemlerimizde bir ihlal veya veri güvenliği olayı olduğuna ya da bu saldırılarda kullanılan hesap bilgilerinin kaynağının 23andMe olduğuna dair herhangi bir belirtiye sahip olmadığımızı belirtmek isteriz” diyor.