Datenschutzbehörden in Großbritannien und Kanada haben im vergangenen Jahr eine gemeinsame Untersuchung zum Datenleck bei 23andMe eingeleitet.
Am Montag haben das britische Information Commissioner’s Office (ICO) und das Office of the Privacy Commissioner of Canada (OPC) kündigten ihre Untersuchung an in das Gentestunternehmen und sagte, die Organisationen würden „die vereinten Ressourcen und das Fachwissen ihrer beiden Niederlassungen“ nutzen.
Letztes Jahr gab 23andMe einen Sicherheitsvorfall bekannt, der die genetischen und Abstammungsdaten von 6,9 Millionen Nutzern betraf, also etwa die Hälfte seiner gesamten Nutzerbasis. In seinen Datenschutzverletzungsmitteilungen sagte das Unternehmen, es habe die Aktivitäten der Hacker etwa fünf Monate lang, von April bis September 2023, nicht bemerkt. 23andMe sagte, es sei erst im Oktober 2023 auf die Kontoverletzungen aufmerksam geworden, als Hacker die gestohlenen Daten auf dem inoffiziellen 23andMe-Subreddit und einem bekannten Hackerforum bekannt machten.
Zu den gestohlenen Daten gehörten der Name der Person, ihr Geburtsjahr, Verwandtschaftsbezeichnungen, der Prozentsatz der mit Verwandten geteilten DNA, Abstammungsberichte und der selbst angegebene Standort.
Hacker brachen in rund 14.000 Konten von 23andMe-Kunden ein, indem sie deren Passwörter aus früheren Einbrüchen wiederverwendeten, eine Technik, die als „Password Spraying“ bekannt ist. Von diesen 14.000 Konten konnten die Hacker Informationen über Millionen anderer Personen abgreifen, und zwar dank einer Opt-in-Funktion namens „DNA Relatives“, die es Benutzern ermöglichte, einige ihrer Daten automatisch mit anderen Personen zu teilen, die ebenfalls zugestimmt hatten, mit dem Ziel, weit entfernte Verwandte aufzuspüren. Auf diese Weise konnten die Hacker Informationen über 6,9 Millionen Benutzer abgreifen, indem sie nur 14.000 Konten hackten.
In einer Stellungnahme wurde ICO-Kommissar John Edwards mit den Worten zitiert: „Die Menschen müssen darauf vertrauen können, dass jede Organisation, die ihre sensibelsten persönlichen Daten verarbeitet, über die entsprechenden Sicherheitsvorkehrungen verfügt.“
„Dieser Datenschutzverstoß hatte internationale Auswirkungen und wir freuen uns auf die Zusammenarbeit mit unseren kanadischen Kollegen, um sicherzustellen, dass die persönlichen Daten der Menschen im Vereinigten Königreich geschützt sind“, sagte Edwards.
Die gemeinsame britisch-kanadische Untersuchung wird sich mit dem Umfang der offengelegten Informationen und dem potenziellen Schaden für die Opfer befassen; außerdem damit, ob 23andMe „über ausreichende Sicherheitsvorkehrungen“ verfügte, um die vertraulichen Daten der Benutzer zu schützen; und ob 23andMe das ICO und das OPC „angemessen informiert“ hat.
Ein Sprecher von 23andMe antwortete nicht sofort auf eine Bitte um Stellungnahme.