DNA testi şirketi 23andMe, 2023 yılında yaşanan büyük çaplı bir siber saldırı sonrası, 150 binden fazla Birleşik Krallık vatandaşına ait kişisel bilgileri koruyamadığı gerekçesiyle İngiltere Bilgi Komiserliği Ofisi (ICO) tarafından 2,3 milyon sterlin para cezasına çarptırıldı.
Aile Ağaçları ve Sağlık Verileri Ele Geçirildi
Kaliforniya merkezli şirketin sistemlerinden çalınan veriler arasında kullanıcıların aile geçmişleri, sağlık raporları, isimleri ve posta kodları da yer aldı. Şirket, saldırıyı uzun süre fark edemedi ve ihlali ancak bir çalışanın, Reddit platformunda verilerin satışa sunulduğunu görmesiyle anladı. Bilgi Komiseri John Edwards, olayın yaz aylarında gerçekleştiğini ve ancak aylar sonra kamuoyuna duyurulduğunu belirterek, “Bu olay, derinlemesine zarar verici bir veri ihlalidir” dedi.
7 Milyon Kişi Etkilendi, Şirket İflas Korumasına Başvurdu
İngiltere’deki kullanıcılar yalnızca buzdağının görünen kısmını oluşturuyor; çünkü toplamda 7 milyon kişinin verisi bu siber saldırıdan etkilendi. 23andMe, genetik köken analizleri için kişilere 89 sterlin karşılığında tükürük örneğine dayalı test kiti sunuyordu. Ancak ihlal sonrası binlerce kullanıcı, verilerinin silinmesini talep etti. Mart 2025’te şirket ABD’de iflas koruması başvurusunda bulundu.
“Şifre Gibi Değil, Değiştirilemez”
Bilgi Komiseri John Edwards, “Bir kişinin genetik bilgisi veya aile geçmişi, bir şifre ya da kredi kartı numarası gibi değiştirilemez. Bu veriler bir kez sızdırıldığında kalıcı bir tehlike doğurur,” dedi. Yapılan soruşturmada, 23andMe’nin temel güvenlik önlemlerini uygulamadığı ve özellikle çok faktörlü kimlik doğrulama sistemini devreye almadığı tespit edildi.
‘Credential Stuffing’ Saldırısı: Aynı Şifreyi Kullananlar Tehlikede
Siber saldırganlar, daha önceki veri ihlallerinden çalınmış şifreleri kullanarak 23andMe hesaplarına girdi. Bu taktik, “credential stuffing” olarak biliniyor ve zayıf şifre güvenliğine sahip sistemlerde ciddi açıklar yaratabiliyor.
Komiser Edwards, İngiltere ve Kanada’nın ortak yürüttüğü soruşturmanın sonuçlarını açıklarken, “Uyarı işaretleri çok önceden belliydi ama şirket geç harekete geçti,” ifadelerini kullandı.
Yeni Sahiplik Anlaşması ve Güvence Taahhütleri
23andMe cephesinden yapılan açıklamada, güvenlik sistemlerinin büyük ölçüde geliştirildiği ve bireysel hesap korumasının artırıldığı belirtildi. Şirketin eski CEO’su Anne Wojcicki’nin öncülüğünde yürütülen 305 milyon dolarlık satın alma girişimi kapsamında, müşteri verilerinin satılmaması, kullanıcıların hesaplarını silme ve araştırmalardan çıkma hakkının tanınması gibi taahhütler verildi. Ayrıca, müşterilere iki yıl boyunca ücretsiz kimlik hırsızlığı takibi hizmeti sunulacağı açıklandı.
ICO’dan Peş Peşe Cezalar
Bu ceza, son yıllarda İngiltere Bilgi Komiserliği tarafından verilen yüksek tutarlı yaptırımlardan biri oldu. 2022’de Interserve inşaat firması, çalışan bilgilerini koruyamadığı gerekçesiyle 4,4 milyon sterlin; 2025’in Mart ayında ise Advanced Computer Software Group adlı bir NHS tedarikçisi, yaklaşık 80 bin kişinin verisini riske attığı için 3,1 milyon sterlin ceza almıştı.
