Dijital itiraflar ve soy araştırmaları çağında yaşıyoruz. Artık bir tükürük örneği ve birkaç tıklamayla insanlar kim olduklarını, nereden geldiklerini ve genetik geleceklerini öğrenebileceklerini düşünüyor. Bu devrimin öncülerinden biri, 2006 yılında Kaliforniya’da kurulan ve adını 23 çift insan kromozomundan alan 23andMe oldu.

Şirketin kurucusu Anne Wojcicki, geleneksel tıp yollarını atlayarak doğrudan tüketiciye ulaşan genetik testlerin önünü açtı. Uygun bir ücret karşılığında kullanıcılar, soy ağaçlarını, sağlık risklerini ve daha önce hiç tanımadıkları akrabalarını keşfedebiliyordu. “DNA Akrabaları” özelliği sayesinde binlerce insan, uzaktaki akrabalarıyla bağlantı kurdu; bazıları içinse bu, yaşamları boyunca hiç öğrenmemeyi tercih edecekleri gerçeklerle yüzleşmek anlamına geldi.

2020’lerin başına gelindiğinde dünya çapında 12 milyondan fazla kişi 23andMe’ye DNA’sını teslim etmişti. Ancak bu genetik merak, görünmeyen bir bedel taşıyordu: hassas verilerin giderek daha karmaşık ve kırılgan bir dijital ağa dönüşmesi.

Ve bu kırılganlık 2023 yılında hedef alındı.

Siber suçlular, credential stuffing adı verilen bir yöntemle daha önce sızdırılmış kullanıcı adı ve şifre kombinasyonlarını kullanarak 23andMe hesaplarına erişim sağladı. Karmaşık şifre kırma değil — sadece tanıdık bilgiyle kapıdan girmekti mesele.

Dahası, bu hesaplara erişmek yalnızca bireysel kullanıcı bilgilerini değil; aynı zamanda DNA Akrabaları üzerinden yüzlerce hatta binlerce kişinin bilgilerini de açığa çıkarıyordu. Adeta bir genetik domino etkisi.

Sonuçlar şok ediciydi: dünya genelinde 6,9 milyon kişi, sadece Birleşik Krallık’ta 155.000 kullanıcı doğrudan etkilendi. Etkilenen veriler arasında etnik köken, genetik hastalık riski ve aile bağlantıları gibi son derece özel bilgiler yer alıyordu. Artık mesele sadece mahremiyet değildi — bu, insan kimliğinin dijital olarak soyulmasıydı.

23andMe veri ihlalinin ardından oluşan sessizlik, neredeyse ihlalin kendisi kadar sarsıcıydı. Haftalar boyunca milyonlarca kullanıcı, genetik kimliklerinin siber suçluların eline geçtiğinden habersizdi.

Birleşik Krallık Bilgi Komiserliği Ofisi (Information Commissioner’s Office – ICO), geniş çaplı bir soruşturma başlattı. Sonuçlar çarpıcıydı: Şirketin çok temel güvenlik önlemlerini bile uygulamadığı ortaya çıktı. İki faktörlü kimlik doğrulama yalnızca isteğe bağlıydı. Parola politikaları zayıftı. Şüpheli erişim aktiviteleri aylarca görmezden gelinmişti.

Mayıs 2025’te, ICO, 23andMe’ye 2,31 milyon sterlin ceza kesti. Bu sadece teknik bir başarısızlık değil, aynı zamanda kullanıcıların en mahrem bilgilerinin korunamamasından kaynaklanan ciddi bir güven ihlaliydi. Kendini “kendini keşfet” mottosuyla tanıtan bir şirket için bu durum, kendi kullanıcılarını tanımamış ve onları koruyamamış olmanın ironisiydi.

Dahası da vardı.

“DNA Akrabaları” özelliği sayesinde, tek bir hesaba erişmek, yüzlerce hatta binlerce diğer kullanıcının verilerine de ulaşılmasını sağladı. Yani, sisteme yıllardır giriş yapmamış ya da akrabalık eşleşmesine onay vermemiş kullanıcıların verileri bile açığa çıktı. Rıza kavramı, teknik bir arka kapıyla devre dışı bırakılmıştı.

Kısa süre sonra şirketin mali dengeleri bozuldu. Açılan davalar ve artan kamuoyu baskısı karşısında 23andMe iflas başvurusunda bulundu. Şirket, şu anda kurucu ortak Anne Wojcicki’nin öncülüğündeki TTAM Research Institute adlı kâr amacı gütmeyen bir kuruluş tarafından devralınma sürecinde. Yeni yönetim, güveni yeniden tesis etme ve veri güvenliğini artırma sözü veriyor. Ancak kamuoyunun zihninde şu soru hâlâ yankılanıyor: Bir kez sızdırılan DNA verisi, gerçekten geri alınabilir mi?

Çünkü gerçek şu: Şifreler değiştirilebilir, kartlar iptal edilebilir. Ama DNA, ömür boyu sizinle kalan bir kimliktir. Bir kez açığa çıktığında, geri dönüşü yoktur.

23andMe olayı yalnızca biyoteknoloji sektörüne değil, hepimize bir uyarı niteliğinde. Genetik veri toplamak, saklamak ve paylaşmak artık sadece teknik meseleler değil — aynı zamanda etik, hukuki ve varoluşsal bir sorumluluk taşıyor.

Artık kişisel veri koruması sadece dosyalarla değil; soylarla, bedenlerle ve kimliğin ta kendisiyle ilgilidir. Ve bu, teknoloji kadar insanlık meselesidir.

Sources:

• Information Commissioner's Office (ICO) Official Statement – May 2025

• 23andMe Press Release on Breach and Legal Proceedings – April 2024

• TechCrunch – “23andMe’s Data Breach Exposed Genetic Links of Millions,” November 2023

• WIRED – “Why the 23andMe Breach Is Different,” October 2023

• BBC News – “UK Fines 23andMe £2.3 Million Over Data Breach,” May 2025

• The Guardian – “DNA Doesn’t Expire: The Unseen Cost of 23andMe’s Data Leak,” May 2025