23andMe'nin özel bilgileri korumak için 'temel adımları atmadığı' soruşturmayla ortaya çıktı

Kanada Gizlilik Komiserliği'nin yaptığı bir araştırma, DNA testi şirketi 23andMe'nin yeterli veri korumasına sahip olmadığını ve yaklaşık iki yıl önce gerçekleşen büyük bir veri ihlalinin öncesindeki uyarı işaretlerini görmezden geldiğini ortaya koydu.

Komiser Philippe Dufresne, gazetecilere yaptığı açıklamada, bilgisayar korsanlarının 2023 yılında sitedeki yaklaşık 6,9 milyon profile (müşteri tabanının neredeyse yarısı) erişim sağladığında uygun korumaların mevcut olmadığını söyledi.

Dufresne Salı günü düzenlediği bir basın toplantısında, "Bu ihlal, tüm kuruluşlar için veri korumanın önemi konusunda uyarıcı bir hikaye niteliğinde" dedi.

"Veri ihlallerinin ciddiyet ve karmaşıklık bakımından giderek arttığı ve fidye yazılımı ile kötü amaçlı yazılım saldırılarının hızla arttığı bir ortamda, veri korumasını önceliklendirmek ve bu tehditleri ele almak için adım atmayan her kuruluş giderek daha savunmasız hale geliyor."

Müşteri profilleri, doğum yılı, coğrafi konum, sağlık bilgileri ve kullanıcıların akrabalarıyla paylaştığı DNA yüzdesi gibi hassas kişisel veriler içeriyordu. Dufresne, çalınan bilgilerin bir kısmının daha sonra çevrimiçi olarak satıldığını söyledi.

Soruşturma geçen yıl İngiltere Bilgi Komiseri John Edwards'ın işbirliğiyle başlatıldı.

Edwards, "23andMe insanların bilgilerini korumak için temel adımları atmakta başarısız oldu, güvenlik sistemleri yetersizdi, uyarı işaretleri vardı ve şirket yanıt vermekte yavaştı" dedi.

Diğer genetik test işletmeleri gibi 23andMe de tükürük örneklerini kullanarak bir müşterinin ataları ve belirli sağlık koşullarına ilişkin olası yatkınlıkları hakkında raporlar üretiyor.

İZLE | İngiltere Bilgi Komiseri John Edwards, 23andMe'ye para cezası verdi:

Salı sabahı Ottawa'da düzenlenen ortak bir basın toplantısında, İngiltere Bilgi Komiseri John Edwards, genetik test şirketi 23andMe'ye 2,31 milyon GBP para cezası verildiğini duyurdu. Bu karar, Kanada Gizlilik Komiseri Philippe Dufresne ile yapılan ortak bir soruşturmanın ardından geldi. Edwards, şirketin dünya çapında kişisel bilgileri korumak için gerekli temel güvenlik önlemlerini uygulamada başarısız olduğunu belirtti.

Komisyon üyeleri, 2023'teki ihlalden yaklaşık 320.000 Kanadalı ve 150.000 İngilterelinin etkilendiğini söyledi.

Edwards, İngiltere'nin San Francisco merkezli şirkete veri ihlali nedeniyle 4,2 milyon dolar para cezası verdiğini söyledi ancak Dufrense, şirkete para cezası verme yetkisinin olmadığını söyledi.

"[Şirketlere para cezası verme yetkisi] gizlilik otoritelerinde dünya çapında yaygın olarak bulunan bir şeydir ve gerekli bir şeydir. Ne yazık ki, Kanada gizlilik yasası bana bunu henüz sağlamıyor," dedi Dufrense.

Gizlilik komisyonuna para cezası kesme yetkisi verecek yasal değişiklikler geçmişte önerildi ancak hiçbir zaman yürürlüğe girmedi. Dufrense, yeni Parlamento'nun yakında tekrar değişiklik önereceğini umduğunu söyledi.

İZLE | Kanada'nın gizlilik komisyoneri, ofisinin para cezası verebilme yetkisine sahip olması gerektiğini söylüyor:

Kanada Gizlilik Komiseri Philippe Dufresne, küresel bir veri ihlalinin ardından genetik test şirketi 23andMe'ye yönelik soruşturmanın ardından, Kanada yasalarının kendisine İngiliz meslektaşının yaptığı gibi para cezası vermesini engellediğini belirterek daha iyi araçlar çağrısında bulundu.

23andMe bu yılın başlarında iflas başvurusunda bulundu ve varlıklarını satacağını duyurdu; bu da müşterilerin verilerine "erişilebileceği, satılabileceği veya transfer edilebileceği" anlamına geliyor. Ancak şirket, iflas sürecinin müşteri verilerini nasıl depoladığını, yönettiğini veya koruduğunu etkilemeyeceğini söyledi.

Dufresne ve Edwards, şirketin herhangi bir satış sırasında kullanıcı verilerini yeterli şekilde korumasını beklediklerini söyledi.

Dufresne, "Bunu dikkatle takip edeceğiz... [gizlilik] yükümlülükleri her yeni sahibi için geçerli olmaya devam etmelidir" dedi.