Es werden weitere Einzelheiten zu einem Datenverstoß bekannt, über den das Gentestunternehmen 23andMe erstmals im Oktober berichtete. Doch je mehr Informationen das Unternehmen weitergibt, desto unklarer wird die Lage und führt zu größerer Unsicherheit bei den Nutzern, die versuchen, die Folgen zu verstehen.
23andMe sagte Anfang Oktober, dass Angreifer einige Benutzerkonten infiltriert und sich diesen Zugriff zunutze gemacht hätten, um über den Opt-in-Social-Sharing-Dienst des Unternehmens namens DNA Relatives persönliche Daten von einer größeren Untergruppe von Benutzern abzugreifen. Zu diesem Zeitpunkt machte das Unternehmen keine Angaben dazu, wie viele Benutzer betroffen waren, aber Hacker hatten bereits damit begonnen, Daten in kriminellen Foren zu verkaufen, die offenbar von mindestens einer Million 23andMe-Benutzern, wenn nicht sogar mehr, stammten. In einer US-Börsenaufsichtsbehörde Einreichung am FreitagDas Unternehmen sagte, dass „der Bedrohungsakteur auf einen sehr kleinen Prozentsatz (0,1 %) der Benutzerkonten zugreifen konnte“, nach Angaben des Unternehmens etwa 14.000 aktuelle Schätzung dass es mehr als 14 Millionen Kunden hat.
Vierzehntausend sind an sich schon eine Menge Leute, aber die Zahl berücksichtigt nicht die Benutzer, die von der Datenentnahme von DNA Relatives durch den Angreifer betroffen waren. In der SEC-Einreichung wurde lediglich darauf hingewiesen, dass der Vorfall auch „eine erhebliche Anzahl von Dateien mit Profilinformationen über die Abstammung anderer Benutzer“ betraf.
Am Montag, 23andMe gegenüber TechCrunch bestätigt dass die Angreifer die persönlichen Daten von etwa 5,5 Millionen Menschen sammelten, die sich für DNA Relatives entschieden hatten, sowie Informationen von weiteren 1,4 Millionen DNA Relatives-Benutzern, „die Zugriff auf ihre Stammbaum-Profilinformationen hatten“. 23andMe teilte diese erweiterten Informationen anschließend mit Auch kabelgebunden.
Aus der Gruppe von 5,5 Millionen Menschen stahlen Hacker Anzeigenamen, letzte Anmeldung, Beziehungsbezeichnungen, vorhergesagte Beziehungen und den Prozentsatz der geteilten DNA mit Übereinstimmungen mit DNA-Verwandten. In einigen Fällen wurden bei dieser Gruppe auch andere Daten kompromittiert, darunter Abstammungsberichte und Details darüber, wo auf ihren Chromosomen sie und ihre Verwandten übereinstimmende DNA hatten, selbst gemeldete Orte, Geburtsorte der Vorfahren, Familiennamen, Profilbilder, Geburtsjahre und Links zu selbst erstellte Stammbäume und andere Profilinformationen. Der kleineren (aber immer noch großen) Untergruppe von 1,4 Millionen betroffenen DNA Relatives-Benutzern wurden insbesondere Anzeigenamen und Beziehungsbezeichnungen gestohlen und in einigen Fällen waren auch Geburtsjahre und selbst gemeldete Standortdaten betroffen.
Auf die Frage, warum diese erweiterten Informationen nicht in der SEC-Einreichung enthalten waren, sagte 23andMe-Sprecherin Katie Watson gegenüber WIRED: „Wir gehen nur näher auf die in der SEC-Einreichung enthaltenen Informationen ein, indem wir konkretere Zahlen angeben.“