Az utóbbi idők egyik legejelentősebb, nyilvánosságra került, DNS szolgáltatóhoz köthető adatszivárgása történt a 23andMe szolgáltatónál. A cég a beküldött DNS-minták elemzésével állapítja meg a származásra és családi kapcsolatokra vonatkozó legfontosabb kérdéseket, információkat. Az ilyen tesztekre mára egy külön iparág épült ki. Ilyen szolgáltató az AncestryDNA, a MyHeritage, és a 23andMe is.
Az utóbbi időben egyre többen figyelmeztették az érintetteket az ilyen szolgáltatások veszélyeire. Ilyen, figyelmeztetésként értékelhető ajánlást fogalmazott meg korábban a NAIH is. A veszélyek különösen azért jelentősek, mert a DNS információk nem módosítható személyes adatok, azok publikálása a kibertérben vissza nem fordítható érdeksérelmet okoz az érintetteknek. A jelenség veszélyességére néhány hete hívtam fel a figyelmet a Népszava hasábjain.
A gyakorlatban épp olyan módon jelent meg a probléma, ahogy azt a cikkben előre jeleztem: a szenzitív adatokat tartalmazó informatikai rendszert támadták a kiberbűnözők. Méghozzá azzal a szakállas megoldással, hogy az interneten elérhető, korábban már kiszivárgott felhasználó-jelszó párosokkal próbáltak belépni az oldalra, elérve ezzel a felhasználói funkciókat.
Bár a támadással az összes fiók mindössze 0.1%-hoz fért hozzá a támadó, ez egyfelől így is 14.000 felhasználót érint közvetlenül. Másfelől, és ez a nagyobb probléma, hozzáfért a potenciális rokoni kapcsolatokhoz, valamint minden olyan, kapcsolati információhoz, amivel maguk a felhasználók rendelkeztek. Így a potenciálisan érintett kör sok nagyságrenddel nagyobbá vált. A fiókokhoz való hozzáférés felhasználásával ugyanis a támadó jelentős számú fájlhoz is hozzáfért, amelyek más felhasználók származására vonatkozó profilinformációkat tartalmaznak, amelyeket ezek a felhasználók megosztottak.
A rossz hír, hogy a 23andMe még csak nem is detektálta a problémát. A tőzsdefelügyeletnek beküldött jelentés alapján egyértelmű, hogy 2023. október 1-én valaki azt állította az interneten, hogy rendelkezik a 23andMe felhasználói profilinformációival. Eredetileg tehát ez jutott a 23andMe tudomására. Amint tudomást szerzett az esetről, a 23andMe vizsgálatot indított, és külső incidenskezelő szakértőket bízott meg, hogy segítsenek meghatározni a jogosulatlan tevékenység mértékét.
Az incidens eredményeként több csoportos keresetet nyújtottak be a társaság ellen a kaliforniai szövetségi és állami bíróságon, valamint az illinois-i állami bíróságon, valamint a kanadai British Columbia-ban és Ontario-ban, jellemzően fogyasztóvédelmi alapon, az incidenskezelés közvetlen költsége biztosan meghaladja az 1.000.000 USD-t.
A sérülékenység könnyedén megelőzhető lett volna azzal az egyszerű, lényegében ingyenes módszerrel, amit azóta kötelezővé is tett a felhasználói számára: a kétfaktoros azonosítással. Ezt a követelmény, kényelmi okokból, a mai napig nem szívesen követelik meg a szolgáltatók, pedig – különösen szenzitív adatoknál – nem lehet a kockázatokat enélkül a megfelelő szinten kezelni.
