Der Gentest Das Unternehmen 23andMe bestätigte am Freitag, dass Daten einer Untergruppe seiner Benutzer kompromittiert wurden. Das Unternehmen sagte, seine Systeme seien nicht angegriffen worden und Angreifer hätten die Daten gesammelt, indem sie die Anmeldeinformationen einer Gruppe von Benutzern erraten und dann die Informationen weiterer Personen aus einer Funktion namens DNA Relatives abgekratzt hätten. Benutzer entscheiden sich dafür, ihre Informationen über DNA Relatives weiterzugeben, damit andere sie sehen können.
Hacker veröffentlichten Anfang dieser Woche eine erste Datenprobe auf der Plattform BreachForums und behaupteten, sie enthalte 1 Million Datenpunkte ausschließlich über aschkenasische Juden. Es scheint auch, dass Hunderttausende Benutzer chinesischer Abstammung von dem Leck betroffen sind. Am Mittwoch begann der Schauspieler mit dem Verkauf angeblicher 23andMe-Profile für zwischen 1 und 10 US-Dollar pro Konto, je nach Umfang des Kaufs. Die Daten umfassen Dinge wie einen Anzeigenamen, Geschlecht, Geburtsjahr und einige Details zu genetischen Abstammungsergebnissen, wie etwa, dass jemand „weitgehend europäischer“ oder „weitgehend arabischer“ Abstammung ist. Es kann auch einige spezifischere Informationen zur geografischen Abstammung enthalten. Die Informationen scheinen keine tatsächlichen, rohen genetischen Daten zu enthalten.
Das Unternehmen betonte in einer Erklärung, dass es keine Beweise dafür sehe, dass seine Systeme verletzt worden seien. Darüber hinaus wurden Benutzer dazu ermutigt, sichere, eindeutige Passwörter zu verwenden und eine Zwei-Faktor-Authentifizierung zu aktivieren, um Angreifer davon abzuhalten, ihre individuellen Konten mithilfe von Anmeldeinformationen zu kompromittieren, die bei anderen Datenschutzverletzungen offengelegt wurden.
„Wir wurden darauf aufmerksam gemacht, dass bestimmte 23andMe-Kundenprofilinformationen durch den Zugriff auf einzelne 23andMe.com-Konten zusammengestellt wurden“, heißt es in einer Erklärung des Unternehmens. „Wir glauben, dass der Bedrohungsakteur dann möglicherweise unter Verstoß gegen unsere Nutzungsbedingungen unbefugt auf 23andme.com-Konten zugegriffen und Informationen von diesen Konten erhalten hat.“
Das Unternehmen äußerte sich nicht im Klaren darüber, ob es die vom Bedrohungsakteur durchgesickerten Daten validiert hat, und wies darauf hin, dass die Untersuchung noch nicht abgeschlossen sei und es derzeit über „vorläufige Ergebnisse“ verfüge. Ein Sprecher des Unternehmens teilte WIRED mit, dass die durchgesickerten Informationen mit einer Situation übereinstimmen, in der einige Benutzerkonten offengelegt und dann ausgenutzt wurden, um in DNA Relatives sichtbare Daten zu stehlen. Als der Sprecher jedoch auf Einzelheiten zur Validierung der Daten drängte, sagte er, dass die Überprüfung der Daten noch aussteht und das Unternehmen derzeit nicht bestätigen kann, ob die durchgesickerten Informationen echt sind.
Dieser Punkt ist sowohl für alle Personen von Bedeutung, deren Informationen möglicherweise kompromittiert wurden, als auch weil die vom Schauspieler veröffentlichten Daten angeblich „Prominente“ enthalten. In den Beispieldaten sind alle Einträge für die Technologen Mark Zuckerberg, Elon Musk und Sergey Brin sichtbar, darunter „Profil-ID“, „Konto-ID“, Name, Geschlecht, Geburtsjahr, aktueller Standort und die Felder „ydna“ und „ ndna.“ Es ist unklar, ob die Daten für diese Einträge legitim sind oder eingegeben wurden. Beispielsweise scheinen Musk und Brin im Leak das gleiche Profil und die gleichen Konto-IDs zu haben.