Am Freitag gab das Gentestunternehmen 23andMe bekannt, dass Hacker auf die persönlichen Daten von 0,1 % der Kunden oder etwa 14.000 Personen zugegriffen haben. Das Unternehmen sagte außerdem, dass Hacker durch den Zugriff auf diese Konten auch auf „eine erhebliche Anzahl von Dateien zugreifen konnten, die Profilinformationen über die Abstammung anderer Benutzer enthalten“. 23andMe wollte jedoch nicht sagen, wie viele „andere Benutzer“ von dem Verstoß betroffen waren, den das Unternehmen ursprünglich Anfang Oktober offengelegt hatte.
Wie sich herausstellte, gab es viele „andere Nutzer“, die Opfer dieser Datenschutzverletzung waren: insgesamt 6,9 Millionen betroffene Personen.
In einer am späten Samstag an Tech gesendeten E-Mail bestätigte 23andMe-Sprecherin Katie Watson, dass Hacker auf die persönlichen Daten von etwa 5,5 Millionen Menschen zugegriffen haben, die sich für die DNA Relatives-Funktion von 23andMe entschieden hatten, die es Kunden ermöglicht, einige ihrer Daten automatisch mit anderen zu teilen. Zu den gestohlenen Daten gehörten der Name der Person, das Geburtsjahr, Beziehungsbezeichnungen, der Prozentsatz der mit Verwandten geteilten DNA, Abstammungsberichte und der selbst angegebene Standort.
23andMe bestätigte außerdem, dass eine andere Gruppe von etwa 1,4 Millionen Menschen, die sich für DNA Relatives entschieden hatten, ebenfalls „auf ihre Stammbaum-Profilinformationen zugreifen konnten“, darunter Anzeigenamen, Beziehungsbezeichnungen, Geburtsjahr, selbst gemeldeter Standort und ob der Benutzer sich dafür entschieden hat Geben Sie ihre Informationen weiter, sagte der Sprecher. (23andMe hat einen Teil seiner E-Mail als „im Hintergrund“ angegeben, was erfordert, dass beide Parteien den Bedingungen im Voraus zustimmen. Tech druckt die Antwort aus, da wir keine Gelegenheit hatten, die Bedingungen abzulehnen.)
Es ist auch nicht bekannt, warum 23andMe diese Zahlen in seiner Offenlegung am Freitag nicht mitgeteilt hat.
Wenn man die neuen Zahlen berücksichtigt, ist bekannt, dass der Datenverstoß in Wirklichkeit etwa die Hälfte der insgesamt gemeldeten 14 Millionen Kunden von 23andMe betrifft.
Anfang Oktober, Ein Hacker behauptete, die DNA-Informationen von 23andMe-Benutzern gestohlen zu haben in einem Beitrag in einem bekannten Hacking-Forum. Als Beweis für den Verstoß veröffentlichte der Hacker die angeblichen Daten von einer Million Nutzern jüdischer aschkenasischer Abstammung und 100.000 chinesischen Nutzern und verlangte von potenziellen Käufern 1 bis 10 US-Dollar für die Daten pro einzelnem Konto. Zwei Wochen später veröffentlichte derselbe Hacker im selben Hackerforum die angeblichen Aufzeichnungen von weiteren vier Millionen Menschen.
Tech stellte fest, dass ein anderer Hacker in einem separaten Hacking-Forum bereits zwei Monate vor der weit verbreiteten Anzeige eine Reihe angeblich gestohlener 23andMe-Kundendaten beworben hatte.
Kontaktiere uns
Haben Sie weitere Informationen zum 23andMe-Vorfall? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Als wir die Monate alten, durchgesickerten Daten analysierten, stellte Tech fest, dass einige Aufzeichnungen mit genetischen Daten übereinstimmten, die online von Hobbyforschern und Ahnenforschern veröffentlicht wurden. Die beiden Informationssätze waren unterschiedlich formatiert, enthielten jedoch teilweise dieselben eindeutigen Benutzer- und generischen Daten, was darauf hindeutet, dass es sich bei den vom Hacker durchgesickerten Daten zumindest teilweise um authentische 23andMe-Kundendaten handelte.
In Offenlegung des Vorfalls im Oktober23andMe sagte, der Datenverstoß sei dadurch verursacht worden, dass Kunden Passwörter wiederverwendeten, was es Hackern ermöglichte, die Konten der Opfer brutal zu erzwingen, indem sie öffentlich bekannte Passwörter verwendeten, die bei Datenverstößen anderer Unternehmen veröffentlicht wurden. Aufgrund der Art und Weise, wie die DNA-Verwandtschaftsfunktion Benutzer mit ihren Verwandten abgleicht, konnten die Hacker beim Hacken in ein einzelnes Konto die persönlichen Daten sowohl des Kontoinhabers als auch seiner Verwandten einsehen, was die Gesamtzahl der 23andMe-Opfer erhöhte .