Unternehmen für Gentests 23andMe sieht sich mit 30 Klagen von Opfern konfrontiert Cyber Attacke es stand letztes Jahr gegenüber. Der Verstoß betraf die Diebstahl von genetischen und Abstammungsdaten von 6,9 Millionen Nutzern. Nun hat das Unternehmen angeblich einen Brief an eine Gruppe von Opfern geschickt, die das Unternehmen wegen ihres Vorfalls verklagt haben Datenleckmacht sie für den Datendiebstahl verantwortlich und lehnt jegliche Verantwortung ab.
Der Verstoß wurde erstmals im Oktober 2020 gemeldet, als Kundendaten zum Verkauf auf der Website gefunden wurden dunkles Netz. Anfangs, 23andMe behauptete, dass nur 14.000 Konten betroffen seien. Weitere Untersuchungen ergaben jedoch, dass die tatsächliche Zahl der betroffenen Personen aufgrund einer internen Datenfreigabefunktion, die mit diesen Konten verknüpft ist, bei rund 6,9 Millionen liegen könnte.
Hacker haben zunächst rund 14.000 Benutzerkonten gehackt, indem sie eine Technik namens Credential Stuffing eingesetzt haben. Sie verwendeten Passwörter, von denen bekannt war, dass sie den Zielkunden zugeordnet waren, um sich unbefugten Zugriff zu verschaffen.
Durch den Angriff auf diese ersten Konten konnten die Hacker jedoch auf die persönlichen Daten von weiteren 6,9 Millionen Kunden zugreifen, deren Konten nicht direkt gehackt wurden. Dies war möglich, weil diese Kunden sich für 23andMe entschieden hatten DNA Verwandte-Funktion, die automatisch einige ihrer Daten mit Personen teilt, die auf der Plattform als ihre Verwandten gelten.
23andMe betonte in einer Nachricht an die Opfer, dass der Verstoß auf die Ausnutzung wiederverwendeter Passwörter zurückzuführen sei, wodurch personenbezogene Daten von weiteren 6,9 Millionen Kunden offengelegt wurden.
„Benutzer haben ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig recycelt und nicht aktualisiert. Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten“, heißt es in dem Brief. „Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten.“
Einer der Anwälte, die die vertreten Opfer Die Gruppe, die einen Brief von 23andMe erhalten hat, Hassan Zavareei, hat dem Unternehmen vorgeworfen, seine Verantwortung für die Datenschutzverletzung vernachlässigt zu haben. Laut Zavareei hat 23andMe beschlossen, den Ernst der Lage herunterzuspielen und seine Kunden im Stich zu lassen, anstatt seinen Fehler einzugestehen. Er teilte seine Bedenken in einer E-Mail an Tech mit.
Nach dem Verstoß setzte 23andMe die Passwörter der Kunden zurück und machte die Multi-Faktor-Authentifizierung zur Pflicht. Um rechtliche Schritte zu verhindern, änderten sie ihre Nutzungsbedingungen, wodurch es für Opfer schwieriger wurde, Sammelklagen oder Massenschlichtungsansprüche einzureichen.
In einem Gerichtsverfahren argumentierte 23andMe, dass gestohlene Daten den Opfern keinen finanziellen Schaden zufügen können. Die abgerufenen Informationen betrafen nur die DNA-Verwandtschaftsfunktion, für deren Weitergabe die Erlaubnis des Benutzers erforderlich ist. Die gestohlenen Daten enthielten keine sensiblen Informationen wie Sozialversicherungs- oder Finanzdaten, sodass kein finanzieller Schaden entstehen konnte.
Der Verstoß wurde erstmals im Oktober 2020 gemeldet, als Kundendaten zum Verkauf auf der Website gefunden wurden dunkles Netz. Anfangs, 23andMe behauptete, dass nur 14.000 Konten betroffen seien. Weitere Untersuchungen ergaben jedoch, dass die tatsächliche Zahl der betroffenen Personen aufgrund einer internen Datenfreigabefunktion, die mit diesen Konten verknüpft ist, bei rund 6,9 Millionen liegen könnte.
Hacker haben zunächst rund 14.000 Benutzerkonten gehackt, indem sie eine Technik namens Credential Stuffing eingesetzt haben. Sie verwendeten Passwörter, von denen bekannt war, dass sie den Zielkunden zugeordnet waren, um sich unbefugten Zugriff zu verschaffen.
Durch den Angriff auf diese ersten Konten konnten die Hacker jedoch auf die persönlichen Daten von weiteren 6,9 Millionen Kunden zugreifen, deren Konten nicht direkt gehackt wurden. Dies war möglich, weil diese Kunden sich für 23andMe entschieden hatten DNA Verwandte-Funktion, die automatisch einige ihrer Daten mit Personen teilt, die auf der Plattform als ihre Verwandten gelten.
23andMe betonte in einer Nachricht an die Opfer, dass der Verstoß auf die Ausnutzung wiederverwendeter Passwörter zurückzuführen sei, wodurch personenbezogene Daten von weiteren 6,9 Millionen Kunden offengelegt wurden.
„Benutzer haben ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig recycelt und nicht aktualisiert. Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten“, heißt es in dem Brief. „Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten.“
Einer der Anwälte, die die vertreten Opfer Die Gruppe, die einen Brief von 23andMe erhalten hat, Hassan Zavareei, hat dem Unternehmen vorgeworfen, seine Verantwortung für die Datenschutzverletzung vernachlässigt zu haben. Laut Zavareei hat 23andMe beschlossen, den Ernst der Lage herunterzuspielen und seine Kunden im Stich zu lassen, anstatt seinen Fehler einzugestehen. Er teilte seine Bedenken in einer E-Mail an Tech mit.
Nach dem Verstoß setzte 23andMe die Passwörter der Kunden zurück und machte die Multi-Faktor-Authentifizierung zur Pflicht. Um rechtliche Schritte zu verhindern, änderten sie ihre Nutzungsbedingungen, wodurch es für Opfer schwieriger wurde, Sammelklagen oder Massenschlichtungsansprüche einzureichen.
In einem Gerichtsverfahren argumentierte 23andMe, dass gestohlene Daten den Opfern keinen finanziellen Schaden zufügen können. Die abgerufenen Informationen betrafen nur die DNA-Verwandtschaftsfunktion, für deren Weitergabe die Erlaubnis des Benutzers erforderlich ist. Die gestohlenen Daten enthielten keine sensiblen Informationen wie Sozialversicherungs- oder Finanzdaten, sodass kein finanzieller Schaden entstehen konnte.