Amerika Birleşik Devletleri’ndeki bir genetik test şirketine karşı veri koruma iddiaları
ABD Federal Ticaret Komisyonu (FTC), bir genetik test sağlayıcısına karşı ciddi suçlamalarda bulundu. 1Health.io (Vitagene) şirketinin, güvenlik ve veri korumaya ilişkin sözleşmeden doğan yükümlülüklerini yerine getiremediği söyleniyor. Hassas sağlık verileri, bulut depolamada herkesin erişebileceği şekilde saklandı ve çok sayıda uyarıya rağmen yedeklenmedi. Ve sonra şirket, hassas müşteri bilgilerini ilgili kişilere haber vermeden süpermarketlere satmasına izin vermek için gizlilik politikasını değiştirdi.
Vitagene 2015 yılından bu yana tüketicilere “DNA Sağlık Test Kitleri” satmaktadır. Müşteriler bir tükürük örneği ve doldurulmuş bir sağlık bilgileri anketi verdi. Artık 1Health.io olarak ticaret yapan şirket bundan yola çıkarak kişiselleştirilmiş “sağlık raporları” ve ebeveynlik derecelendirmesi oluşturur. Fiyatlar, kişiselleştirilmiş vitamin kombinasyonları veya beslenme koçluğu gibi ek hizmetleri içerebilen 29 ila 259 ABD Doları arasında değişmektedir.
1Health, müşterilerine endüstrinin olağan seviyesinin üzerinde ve ötesinde “kurşun geçirmez” veri koruması sözü verdi. Ek olarak, laboratuvar tükürük örneklerini yok edecek – aslında, şirketin laboratuvarın gerçekten bunu yapmayı amaçlayıp amaçlamadığını kontrol etmediği söyleniyor. Depolanan genetik verilerin müşterinin adıyla ilişkilendirilmeyeceği söylendi – aslında ilgili adlarıyla saklanması gerekecekti.
Sonuçta, müşteriler de verilerini istedikleri zaman silebilmelidir. Ancak şirketin veri envanteri olmadığı için ilgili silme emirlerini tam olarak işlemesi mümkün olmadı.
Verilerin süpermarketlere planlı satışı
2016’da sağlık raporları, gen varyantları ve diğer genetik veriler gibi hassas veriler, şifrelenmemiş ve erişim takibi veya günlük kaydı olmayan, herkesin erişebileceği AWS depolaması olan Amazon’un AWS S3’ünde sona erdi. En az 2.383 danışanın sağlık raporları ve en az 227 danışanın genetik verileri dahil edildi. 1Health.io’nun, AWS’nin Temmuz 2017’deki uyarısını ve ayrıca Kasım 2018’de güvenli olmayan çevrimiçi depolamanın keşfedildiği bir sızma testinin sonucunu dikkate almadığı söyleniyor.
Haziran 2019’da harici bir güvenlik araştırmacısı alarm çaldığında bile 1Health.io’nun sorunu çözmediği söyleniyor. Ancak bu araştırmacı halka açıldığında şirket sorunu ele aldı. Saklama izlemesi olmadığında, yetkisiz kişilerin verilere erişip erişmediğini veya nereden eriştiğini belirlemek mümkün değildir.
2020’de 1Health.io bir adım daha ileri gitti: Şirket, etkilenen kişileri bilgilendirmeden veri koruma düzenlemelerini tek taraflı olarak değiştirdi. Genetik test şirketi, müşteri verilerini süpermarketlere, besin takviyesi üreticilerine ve diğer üçüncü taraflara sattığını iddia etti. FTC, orijinal gizlilik kuralı tek taraflı değişiklikleri içerse de, bu hükümlerin ABD yasalarına göre yasa dışı olduğunu söylüyor. Haksız ve tek taraflı değişiklikler bu nedenle haksız rekabeti temsil eder ve bu aynı zamanda veri güvenliği önlemlerinin asılsız övgüsüdür.
Geri ödemeler için 75.000 $
FTC, 1Health.io’ya kendi idari mahkemesinde dava açtı ve bir anlaşmaya vardı. 1Health.io iddiaları doğrulamadığı gibi yalanlamıyor da. Taslak anlaşma şimdi dört hafta boyunca kamu denetimine açık ve ardından FTC anlaşmayı olduğu gibi kabul edip etmeyeceğine veya değişiklik talep edip etmeyeceğine karar verecek.
1Health.io’nun, FTC’nin etkilenen tüketicilere tazminat ödemek için kullanmak istediği 75.000 $ ödemesi bekleniyor. Ayrıca şirket, yanlış beyanda bulunulmaması, verilerin yalnızca ilgili kişinin açık rızasıyla ifşa edilmesi, tükürük örneklerinin etkin bir şekilde imha edilmesi, bağımsız denetimler ve ‘FTC’ye ilişkin düzenli raporlar dahil olmak üzere bir veri güvenliği programının oluşturulması dahil olmak üzere çok sayıda taahhütte bulunmalıdır.
FTC prosedürü çağrılır Matter of 1Health.io da Vitagene gibi iş yapıyorAz.
Görüş 1Health.io
1Health.io çevrimiçi olarak yalnızca 2019’da ücretsiz olarak erişilebilen müşteri verileri hakkında bilgi aldığını söyledi. 2016’da Vitagene yazılımını test eden bir yükleniciyi suçladı. Müşteri verilerini güvenlik yönergelerinin aksine Amazon S3’e yükledi. 3000’den az müşterisi olan 3754 satır var. Şirket, bunun için erişim günlüğü olmadığını kabul etse de, müşteri verilerine yetkisiz erişim olduğuna dair bir kanıt yoktu.
Şirket, geri kalan iddialar hakkında ayrıntılı bir yorum yapmıyor, ancak “FTC’nin bulgularının çoğunu paylaşmadığını” söylüyor. Bunun yerine 1Health.io, soruşturma makamını “resmi gücün olağanüstü kötüye kullanılması” ile suçluyor: “Bu olağanüstü bir devlet müdahalesidir.”, orijinalinde. Sırasıyla 2018 ve 2019’da diğer iki ABD laboratuvarında çok daha büyük veri ihlalleri oldu.
(Sağ)
Haberin Sonu