Gegenüber mehr als 30 Klagen 23andMe schiebt die Schuld nun auf die Opfer selbst und versucht, sich von jeglicher Verantwortung zu befreien. Dies geht aus einem Brief hervor, der an eine von Tech gesehene Gruppe von Opfern gesendet wurde.
„Anstatt seine Rolle bei dieser Datensicherheitskatastrophe anzuerkennen, hat 23andMe offenbar beschlossen, seine Kunden im Stich zu lassen und gleichzeitig die Schwere dieser Ereignisse herunterzuspielen“, sagte Hassan Zavareei, einer der Anwälte, die die Opfer vertraten und den Brief von 23andMe erhalten hatten Tech in einer E-Mail.
Im Dezember gab 23andMe zu, dass Hacker die genetischen Daten und Abstammungsdaten von 6,9 Millionen Nutzern gestohlen hatten, also fast der Hälfte aller seiner Kunden.
Der Datenverstoß begann damit, dass Hacker nur auf etwa 14.000 Benutzerkonten zugegriffen hatten. Die Hacker drangen in diese erste Gruppe von Opfern ein, indem sie Konten mit Passwörtern, von denen bekannt war, dass sie mit den Zielkunden in Verbindung stehen, brutal erzwingen, eine Technik, die als Credential Stuffing bekannt ist.
Von diesen 14.000 ursprünglichen Opfern konnten die Hacker dann jedoch auf die persönlichen Daten der anderen 6,9 Millionen Opfer zugreifen, weil sie sich für 23andMe entschieden hatten DNA-Verwandte Besonderheit. Mit dieser optionalen Funktion können Kunden einige ihrer Daten automatisch mit Personen teilen, die auf der Plattform als ihre Verwandten gelten.
Mit anderen Worten: Durch das Hacken von nur 14.000 Kundenkonten haben die Hacker anschließend persönliche Daten von weiteren 6,9 Millionen Kunden abgekratzt, deren Konten nicht direkt gehackt wurden.
Aber in einem Brief an eine Gruppe von Hunderten von 23andMe-Benutzern, die jetzt das Unternehmen verklagen, sagte 23andMe, dass „Benutzer ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig recycelt und nicht aktualisiert haben.“
„Deshalb war der Vorfall nicht das Ergebnis des angeblichen Versäumnisses von 23andMe, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten“, heißt es in dem Brief.
Zavareei sagte, dass 23andMe „schamlos“ den Opfern der Datenschutzverletzung die Schuld gebe.
„Diese Schuldzuweisungen sind unsinnig. 23andMe wusste oder hätte wissen müssen, dass viele Verbraucher recycelte Passwörter verwenden und dass 23andMe daher einige der vielen verfügbaren Schutzmaßnahmen zum Schutz vor Credential Stuffing hätte implementieren sollen – insbesondere angesichts der Tatsache, dass 23andMe persönliche Identifikationsinformationen, Gesundheitsinformationen und genetische Informationen auf seiner Plattform speichert. “ sagte Zavareei in einer E-Mail.
„Der Verstoß betraf Millionen von Verbrauchern, deren Daten über die DNA Relatives-Funktion auf der Plattform von 23andMe offengelegt wurden, und nicht, weil sie recycelte Passwörter verwendeten. Von diesen Millionen wurden nur einige Tausend Konten aufgrund von Credential Stuffing kompromittiert. Der Versuch von 23andMe, sich der Verantwortung zu entziehen, indem es seinen Kunden die Schuld zuweist, bringt diesen Millionen Verbrauchern nichts, deren Daten ohne eigenes Verschulden kompromittiert wurden“, sagte Zavareei.
Kontaktiere uns
Haben Sie weitere Informationen zum 23andMe-Vorfall? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Als Antwort auf den Brief von 23andMe sagte Dante Termohs, ein 23andMe-Kunde, der von der Datenschutzverletzung betroffen war, gegenüber Tech, dass er „es entsetzlich finde, dass 23andMe versucht, sich vor den Konsequenzen zu verstecken, anstatt seinen Kunden zu helfen.“
Die Anwälte von 23andMe argumentierten, dass die gestohlenen Daten nicht dazu verwendet werden könnten, den Opfern finanziellen Schaden zuzufügen.
„Die Informationen, auf die möglicherweise zugegriffen wurde, können nicht zu Schadenszwecken verwendet werden. Wie im Blogbeitrag vom 6. Oktober 2023 erläutert, beziehen sich die Profilinformationen, auf die möglicherweise zugegriffen wurde, auf die DNA Relatives-Funktion, die ein Kunde erstellt und mit anderen Benutzern auf der Plattform von 23andMe teilen möchte. Solche Informationen wären nur verfügbar, wenn sich die Kläger dafür entschieden hätten, diese Informationen über die DNA Relatives-Funktion mit anderen Benutzern zu teilen. Darüber hinaus konnten die Informationen, die der unbefugte Akteur möglicherweise über die Kläger erlangte, nicht dazu verwendet werden, einen finanziellen Schaden anzurichten (dazu gehörten weder ihre Sozialversicherungsnummer noch ihre Führerscheinnummer noch Zahlungs- oder Finanzinformationen)“, heißt es in dem Brief.
23andMe und einer seiner Anwälte antworteten nicht auf die Bitte von Tech um einen Kommentar.
Nach der Offenlegung des Verstoßes setzte 23andMe alle Kundenpasswörter zurück und verlangte dann von allen Kunden die Verwendung einer Multi-Faktor-Authentifizierung, die vor dem Verstoß nur optional war.
Um den unvermeidlichen Sammelklagen und Massenschiedsklagen zuvorzukommen, änderte 23andMe seine Nutzungsbedingungen, um es den Opfern zu erschweren, sich zusammenzuschließen, wenn sie eine Klage gegen das Unternehmen einreichen. Anwälte mit Erfahrung in der Vertretung von Opfern von Datenschutzverletzungen sagten gegenüber Tech, dass die Änderungen „zynisch“, „eigennützig“ und „ein verzweifelter Versuch“ seien, sich selbst zu schützen und Kunden davon abzuhalten, das Unternehmen anzugreifen.
Offensichtlich haben die Änderungen die heutige Flut nicht aufgehalten Sammelklagen.