Ein SEC-Einreichung hat weitere Details zu einem Datenverstoß bekannt gegeben, der 23andMe-Benutzer betrifft und Anfang Herbst bekannt wurde. Das Unternehmen sagt, seine Untersuchung habe ergeben, dass Hacker auf die Konten von etwa 0,1 Prozent seiner Nutzerbasis oder etwa 14.000 seiner insgesamt 14 Millionen Kunden zugreifen konnten. TechCrunch Anmerkungen. Darüber hinaus konnten die Angreifer die Opt-in-DNA-Relatives-Funktion (DNAR) von 23andMe ausnutzen, die Benutzer ihren genetischen Verwandten zuordnet, um auf Informationen über Millionen anderer Benutzer zuzugreifen. Ein 23andMe-Sprecher sagte gegenüber Engadget, dass Hacker auf diese Weise auf die DNAR-Profile von rund 5,5 Millionen Kunden sowie auf Stammbaumprofilinformationen von 1,4 Millionen DNA Relative-Teilnehmern zugegriffen hätten.
DNAR-Profile enthalten vertrauliche Details, einschließlich selbst gemeldeter Informationen wie Anzeigenamen und Standorte sowie gemeinsame DNA-Prozentsätze für Übereinstimmungen mit DNA-Verwandten, Familiennamen, vorhergesagte Beziehungen und Abstammungsberichte. Stammbaumprofile enthalten Anzeigenamen und Beziehungsbezeichnungen sowie andere Informationen, die ein Benutzer hinzufügen kann, einschließlich Geburtsjahr und Ort. Als der Verstoß im Oktober erstmals aufgedeckt wurde, sagte das Unternehmen, seine Untersuchung habe „erfunden, dass keine Gentestergebnisse durchgesickert sind“.
Der neuen Einreichung zufolge umfassten die Daten „im Allgemeinen Informationen zur Abstammung und für einen Teil dieser Konten gesundheitsbezogene Informationen, die auf der Genetik des Benutzers basierten.“ All dies wurde durch einen Credential-Stuffing-Angriff erreicht, bei dem Hacker Anmeldeinformationen von anderen, zuvor kompromittierten Websites verwendeten, um auf die Konten dieser Benutzer auf anderen Websites zuzugreifen. Dabei heißt es in der Akte: „Der Bedrohungsakteur hat dabei auch auf eine beträchtliche Anzahl von Dateien zugegriffen, die Profilinformationen über die Abstammung anderer Benutzer enthalten, die diese Benutzer bei der Aktivierung der DNA-Verwandtschaftsfunktion von 23andMe freigegeben haben, und hat bestimmte Informationen online gestellt.“
Nach Entdeckung des Verstoßes 23andMe wies betroffene Benutzer an, ihre Passwörter zu ändern, und führte später für alle Kunden die Zwei-Faktor-Authentifizierung ein. In einem weiteren Update vom Freitag teilte 23andMe mit, dass die Untersuchung abgeschlossen sei und alle Betroffenen benachrichtigt würden. Das Unternehmen schrieb in der Akte außerdem, dass es „glaubt, dass die Aktivität der Bedrohungsakteure eingedämmt ist“ und daran arbeitet, dass die öffentlich veröffentlichten Informationen entfernt werden.
Update, 2. Dezember 2023, 19:03 Uhr ET: Diese Geschichte wurde aktualisiert und enthält nun Informationen eines 23andMe-Sprechers zum Ausmaß des Verstoßes und zur Anzahl der betroffenen DNA Relative-Teilnehmer.