In einem an diesem Wochenende bei den Aufsichtsbehörden eingereichten Benachrichtigungsschreiben zu Datenschutzverletzungen enthüllte 23andMe, dass Hacker im April 2023 damit begannen, in Kundenkonten einzudringen, und dies bis zum größten Teil des Septembers andauerten.
Mit anderen Worten: Etwa fünf Monate lang hat 23andMe keine Reihe von Cyberangriffen entdeckt, bei denen Hacker versuchten – und oft auch Erfolg hatten –, sich brutal Zugang zu Kundenkonten zu verschaffen. Dies geht aus einer gesetzlich vorgeschriebenen Akte hervor, die 23andMe an den Generalstaatsanwalt von Kalifornien geschickt hat.
Monate nachdem die Hacker begonnen hatten, 23andMe-Kunden ins Visier zu nehmen, enthüllte das Unternehmen, dass Hacker die Abstammungs- und genetischen Daten von 6,9 Millionen Benutzern oder etwa der Hälfte seiner Kunden gestohlen hatten.
Nach Angaben des Unternehmens wurde 23andMe im Oktober auf den Verstoß aufmerksam, als Hacker die gestohlenen Daten in Beiträgen bewarben, die auf dem inoffiziellen Subreddit 23andMe und separat in einem berüchtigten Hackerforum veröffentlicht wurden. 23andMe bemerkte auch nicht, dass die Hacker Monate zuvor im August in einem anderen Hacking-Forum Werbung für die gestohlenen Daten gemacht hatten, wie Tech berichtete.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Hack? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht am Arbeitsplatz befindlichen Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Wie 23andMe später zugab, konnten Hacker auf die Konten von rund 14.000 Kunden zugreifen, indem sie brutal in Konten eindrangen, die bereits veröffentlichte Passwörter verwendeten und mit E-Mail-Adressen aus anderen Verstößen verknüpft waren. Durch den Zugriff auf diese Konten stahlen die Hacker Daten von 6,9 Millionen Kunden DNA-Verwandte Funktion, mit der Kunden automatisch einige ihrer Daten mit anderen teilen können, die 23andMe als Verwandte einstuft. Zu den gestohlenen Daten gehörten der Name der Person, das Geburtsjahr, Beziehungsbezeichnungen, der Prozentsatz der mit Verwandten geteilten DNA, Abstammungsberichte und der selbst angegebene Standort.
Sprecher von 23andMe antworteten nicht sofort auf die Bitte von Tech um einen Kommentar, in dem auch Fragen dazu enthalten waren, warum der Verstoß so lange unentdeckt blieb.
Nachdem Kunden darüber informiert wurden, dass sie Opfer des Verstoßes waren, reichten mehrere Opfer in den USA und Kanada Sammelklagen gegen 23andMe ein, obwohl das Unternehmen durch eine Änderung seiner Nutzungsbedingungen versuchte, es den Opfern zu erschweren, sich in rechtlichen Schritten zusammenzuschließen . Anwälte für Datenschutzverletzungen nannten die Änderungen der Nutzungsbedingungen „zynisch“, „eigennützig“ und „einen verzweifelten Versuch“, 23andMe vor seinen eigenen Kunden zu schützen.
In einer der Klagen reagierte 23andMe, indem es Benutzern vorwarf, angeblich wiederverwendete Passwörter zu verwenden.
„Benutzer haben ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig recycelt und nicht aktualisiert.“ 23andMe behauptete in einem Brief, Opfer verletzt zu haben. „Der Vorfall war nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten.“