Hacker’lar, binlerce ve tahminen de milyonlarca kişinin DNA bilgilerini ve fazlasını çaldı

Dünyanın önde gelen tüketici DNA toplama kuruluşu 23andMe, yaptığı açıklamada bilgisayar korsanlarının yaklaşık 14.000 kişinin DNA bilgilerinin yanı sıra diğer kullanıcılar hakkındaki “önemli sayıda dosyayı” çaldığını duyurdu. Lakin bu “önemli sayıda” tarifi ilk başta göründüğünden çok daha çok önemli olabilir. TechCrunch’ın bildirdiğine göre 23andMe, insanların genetik bilgileri de dahil olmak üzere yaklaşık 6,9 milyon kullanıcının bilgilerini kaybetmiş durumda. Yani, şirketin bildirdiği ilk sayının binlerce kat üzerinde bir sayıya bakıyor olabiliriz.

Bir 23andMe sözcüsü, yayınladığı e-postada, bilgisayar korsanlarının şirketin “DNA Akrabaları” (DNA Relatives) özelliğini etkinleştiren yaklaşık 5,5 milyon kullanıcıdan kişinin ismi, doğum yılı, münasebet etiketleri, akrabalarıyla paylaşılan DNA kullanıcılarının yüzdesi, soy raporları ve pozisyonu dahil olmak üzere bilgi çaldığını doğruladı. DNA Akrabaları’na kaydolan 1,4 milyon kişinin de “Aile Ağacı profil bilgilerine erişildi.”

Sözcü, çalınan bilgilerin vakitte soy raporları ve eşleşen DNA kısımları (özellikle kromozomlarında kendilerinin ve akrabalarının eşleşen DNA’ya sahip olduğu yer), cetlerin doğum yerleri ve aile isimleri, profil fotoğrafları ve kullanıcıların profillerinin “Kendinizi tanıtın” kısmında yer alan her şeyi içerebileceğini söyledi. Tüm bunlar, 23andMe’nin, Menkul Değerler ve Borsa Komisyonu’na yaptığı müracaatta bilhassa belirttiği %0,1’in değil, 14 milyon kullanıcısının yaklaşık yarısına ait bilgilerin denetimini kaybettiği manasına geliyor.

DNA Akrabaları, platformun kullanıcılara 23andMe hesabına kaydolduklarında sunduğu birçok data paylaşım özelliğinden sırf biri. 23andMe sözcüsü, hücumun bir kimlik bilgisi doldurma saldırısı olduğunu söyledi ve bu da, bilgisayar korsanlarının, insanların 23andMe’ye kaydolurken yeniden kullandıkları kullanıcı isimleri ve şifreleri kullanarak kişisel hesaplara eriştikleri manasına geliyor. Şirketlerin buna hücumlara karşı savunma yolları kullanmaları mümkün olsa da, ne yazık ki kullanıcılar, benzeyenşifre ve kullanıcı ismini birden fazla yerde kullanarak buna taarruzların amacı olma riskini almış oluyor.

Sözcü, “Sistemlerimizde bir ihlal ya da bilgi güvenliği olayı olduğuna yahut bu hücumlarda kullanılan hesap bilgilerinin kaynağının 23andMe olduğuna dair herhangi bir belirtiye sahip olmadığımızı belirtmek isteriz” diyor.