Das bestätigte das Biotech-Unternehmen 23andMe, bekannt für seine DNA-Testkits BleepingComputer dass seine Benutzerdaten in Hackerforen kursieren. Das Unternehmen sagte, das Leck sei durch einen Credential-Stuffing-Angriff entstanden.
Bei einem Credential-Stuffing-Angriff handelt es sich um Benutzerinformationen, die bereits von einer Organisation kompromittiert wurden (z. B. Benutzernamen und Passwörter), die ein Hacker erhält und versucht, bei einer zweiten Organisation – in diesem Fall 23andMe – wiederzuverwenden. Aufgrund der Art des Credential-Stuffing scheint es sich hierbei nicht um einen Verstoß gegen die internen Systeme des Unternehmens zu handeln. Vielmehr wurden die Konten in Einzelteile zerlegt. Die Täter dieses Angriffs scheinen von den kompromittierten Konten recht sensible Informationen erhalten zu haben (unter anderem Fotos, vollständige Namen und geografischer Standort). „Bisher hat unsere Untersuchung ergeben, dass keine Gentestergebnisse durchgesickert sind“, sagte ein 23andMe-Sprecher in einer E-Mail. In einem offiziellen öffentliche StellungnahmeDas Unternehmen teilte mit, dass es sofort eine Untersuchung eingeleitet habe, nachdem es auf verdächtige Aktivitäten aufmerksam geworden sei.
Das erste Leck umfasste „1 Million Datenzeilen für aschkenasische Menschen“. nach Zu BleepingComputer. Bis zum 4. Oktober wurden Daten in großen Mengen zum Verkauf angeboten, in Schritten von 100, 1.000, 10.000 oder 100.000 Profilen. Das Ausmaß des Angriffs ist noch unbekannt, aber das Ausmaß seiner Auswirkungen wurde wahrscheinlich durch die „DNA Relatives“-Funktion von 23andMe verschärft. „Verwandte werden identifiziert, indem Ihre DNA mit der DNA anderer 23andMe-Mitglieder verglichen wird, die an der Funktion „DNA-Verwandte“ teilnehmen“, so das Unternehmen Zustände. Nachdem der Bedrohungsakteur hinter diesem Verstoß über Credential-Stuffing auf eine unbekannte Anzahl von Profilen zugegriffen hatte, hat er offenbar die „DNA Relatives“-Ergebnisse für diese Profile gelöscht und so weitaus sensiblere Daten erfasst. Auf derselben FAQ-Seite heißt es: „Die Anzahl der aufgeführten Verwandten [..] wächst mit der Zeit, da immer mehr Menschen 23andMe beitreten.“ Für das Geschäftsjahr 2023 hat das Unternehmen gemeldet es „genotypisierte“ rund 14 Millionen Kunden.
Seit 23andMe im Jahr 2021 an die Börse ging, wird das Unternehmen hinsichtlich seiner Datenschutzpraktiken einer besonderen Prüfung unterzogen – und das zu Recht, da es sich um sensible medizinische Daten handelt, die aus Speichelproben gewonnen werden, darunter auch Veranlagungen für Krankheiten wie Alzheimer, Typ-2-Diabetes und sogar Krebs. Auf seiner Website hat die Ansprüche des Unternehmens es „übertrifft“ die Datenschutzstandards seiner Branche.
Update, 7. Oktober 2023, 15:15 Uhr ET: Diese Geschichte wurde aktualisiert, um eine Aussage über die Art der vertraulichen Informationen zu korrigieren, die durch das Leck kompromittiert wurden. Das Unternehmen sagte, dass bisher keine Gentestergebnisse durchgesickert seien.