Das Gentest-Unternehmen 23andMe gab am Freitag bekannt, dass Hacker bei der jüngsten Datenpanne des Unternehmens auf rund 14.000 Kundenkonten zugegriffen haben.
In einer neuen Einreichung bei der US-amerikanischen Börsenaufsichtsbehörde Securities and Exchange Commission Das am Freitag veröffentlichte Unternehmen teilte mit, dass es auf der Grundlage seiner Untersuchung des Vorfalls festgestellt habe, dass Hacker auf 0,1 % seines Kundenstamms zugegriffen hätten. Laut dem jüngsten Jahresergebnisbericht des Unternehmens23andMe hat „weltweit mehr als 14 Millionen Kunden“, was bedeutet, dass 0,1 % etwa 14.000 sind.
Das Unternehmen sagte jedoch auch, dass die Hacker durch den Zugriff auf diese Konten auch auf „eine erhebliche Anzahl von Dateien mit Profilinformationen über die Abstammung anderer Benutzer zugreifen konnten, die diese Benutzer mitgeteilt haben, als sie sich für die DNA-Verwandtschaftsfunktion von 23andMe entschieden hatten“.
Das Unternehmen gab weder an, wie hoch diese „erhebliche Anzahl“ an Dateien ist, noch wie viele dieser „anderen Benutzer“ betroffen waren.
23andMe antwortete nicht sofort auf eine Bitte um Stellungnahme, die Fragen zu diesen Nummern enthielt.
Anfang Oktober enthüllte 23andMe einen Vorfall, bei dem Hacker die Daten einiger Benutzer mithilfe einer gängigen Technik namens „Credential Stuffing“ gestohlen hatten. Dabei hackten sich Cyberkriminelle in das Konto eines Opfers ein, indem sie ein bekanntes Passwort verwendeten, das möglicherweise aufgrund einer Datenpanne bei einem anderen Opfer durchgesickert war Service.
Der Schaden endete jedoch nicht bei den Kunden, deren Konten abgerufen wurden. 23andMe ermöglicht Benutzern die Aktivierung einer Funktion namens DNA-Verwandte. Wenn sich ein Benutzer für diese Funktion entscheidet, gibt 23andMe einige der Informationen dieses Benutzers an andere weiter. Das bedeutet, dass Hacker durch den Zugriff auf das Konto eines Opfers auch die persönlichen Daten von Personen einsehen konnten, die mit diesem ursprünglichen Opfer verbunden waren.
23andMe sagte in der Akte, dass die gestohlenen Daten für die ersten 14.000 Benutzer „im Allgemeinen Informationen zur Abstammung und für einen Teil dieser Konten gesundheitsbezogene Informationen auf der Grundlage der Genetik des Benutzers umfassten“. Für die andere Untergruppe von Benutzern sagte 23andMe lediglich, dass die Hacker „Profilinformationen“ gestohlen und dann nicht näher bezeichnete „bestimmte Informationen“ online gestellt hätten.
Tech analysierte die veröffentlichten gestohlenen Datensätze, indem es sie mit bekannten öffentlichen Genealogie-Aufzeichnungen verglich, einschließlich Websites, die von Hobbyforschern und Genealogen veröffentlicht wurden. Obwohl die Datensätze unterschiedlich formatiert waren, enthielten sie teilweise dieselben eindeutigen Benutzer- und genetischen Informationen, die mit den vor Jahren online veröffentlichten Genealogie-Aufzeichnungen übereinstimmten.
Der Besitzer einer Genealogie-Website, über deren Verwandtendaten einige Daten ihrer Verwandten im Zuge der Datenpanne von 23andMe offengelegt wurden, teilte Tech mit, dass über 23andMe etwa 5.000 Verwandte entdeckt wurden, und sagte, dass unsere „Korrelationen dies berücksichtigen könnten“.
Neuigkeiten zum Datenschutzverstoß online aufgetaucht im Oktober, als Hacker in einem bekannten Hackerforum die angeblichen Daten von einer Million Nutzern jüdischer aschkenasischer Abstammung und 100.000 chinesischen Nutzern bewarben. Etwa zwei Wochen später machte derselbe Hacker, der die ersten gestohlenen Benutzerdaten beworben hatte, die angeblichen Datensätze von vier Millionen weiteren Menschen bekannt. Der Hacker versuchte, die Daten einzelner Opfer für 1 bis 10 US-Dollar zu verkaufen.
Tech stellte fest, dass ein anderer Hacker in einem anderen Hacking-Forum zwei Monate vor der Anzeige, über die erstmals im Oktober von Nachrichtenagenturen berichtet wurde, noch mehr angeblich gestohlene Benutzerdaten beworben hatte. In dieser ersten Anzeige behauptete der Hacker, über 300 Terabyte an gestohlenen 23andMe-Benutzerdaten zu verfügen, und verlangte 50 Millionen US-Dollar für den Verkauf der gesamten Datenbank oder zwischen 1.000 und 10.000 US-Dollar für einen Teil der Daten.
Als Reaktion auf die Datenschutzverletzung zwang 23andMe die Benutzer am 10. Oktober, ihre Passwörter zurückzusetzen und zu ändern, und forderte sie auf, die Multi-Faktor-Authentifizierung zu aktivieren. Und am 6. November verlangte das Unternehmen laut der neuen Einreichung von allen Benutzern die Verwendung einer zweistufigen Verifizierung.
Nach dem Verstoß gegen 23andMe begannen andere DNA-Testunternehmen, Ancestry und MyHeritage, die Zwei-Faktor-Authentifizierung vorzuschreiben.