Welche Datenhacker von 23andMe gestohlen haben
Das Unternehmen bestätigte, dass die Hacker durch den Zugriff auf diese Konten auch auf „eine beträchtliche Anzahl von Dateien mit Profilinformationen über die Abstammung anderer Benutzer zugreifen konnten, die diese Benutzer offengelegt haben, als sie sich für die DNA-Verwandtschaftsfunktion von 23andMe entschieden hatten“.
Das Unternehmen gab jedoch weder an, wie hoch diese „erhebliche Anzahl“ an Dateien war, noch erwähnte es, wie viele dieser „anderen Benutzer“ betroffen waren.
In seiner Akte sagte 23andMe, dass die gestohlenen Daten für die ersten 14.000 Benutzer „im Allgemeinen Informationen zur Abstammung und für einen Teil dieser Konten gesundheitsbezogene Informationen auf der Grundlage der Genetik des Benutzers umfassten“.
Für die andere Untergruppe von Benutzern erwähnte das Unternehmen, dass die Hacker nur „Profilinformationen“ gestohlen und dann „bestimmte Informationen“ online gestellt hätten.
23andMe ermöglicht Benutzern die Aktivierung einer Funktion namens DNA Relatives. Hacker griffen nicht nur auf die Daten der Kunden zu, die über ihre Konten verfügten, sondern auch auf die DNA-Verwandtschaftsfunktion des Unternehmens.
Wenn sich ein Benutzer für diese Funktion entscheidet, gibt das Unternehmen einige der Informationen dieses Benutzers an andere weiter. Das bedeutet, dass Hacker durch den Zugriff auf das Konto eines Opfers auch die persönlichen Daten von Personen einsehen konnten, die mit diesem ursprünglichen Opfer verbunden waren.
Wie es Hackern gelang, Daten zu stehlen
Im Oktober erwähnte das Unternehmen, dass es den Hackern mithilfe einer gängigen Technik namens „Credential Stuffing“ gelungen sei, Daten zu stehlen. Bei dieser Technik hacken sich Cyberkriminelle in das Konto eines Opfers ein, indem sie ein bekanntes Passwort verwenden, das aufgrund einer Datenpanne bei einem anderen Dienst durchgesickert ist.