Im Oktober 2023 gab 23andMe zu, dass es einen Datenverstoß erlitten hat, der die Daten seiner Nutzer kompromittiert hat. Das Unternehmen wurde seitdem von mehreren Klagen heimgesucht Die New York TimesEiner von ihnen wirft 23andMe vor, Kunden nicht darüber informiert zu haben, dass sie speziell wegen ihrer chinesischen und aschkenasischen jüdischen Abstammung ins Visier genommen wurden. Ihnen sei auch nicht mitgeteilt worden, dass ihre Testergebnisse mit genetischen Informationen in kuratierten Listen zusammengestellt worden seien, die dann im Dark Web geteilt worden seien, sagten die Kläger. 23andMe kürzlich eine Kopie herausgegeben der Briefe, die es an betroffene Kunden verschickte, enthielten keinen Hinweis auf die Herkunft der Nutzer.
Die Klage wurde beim Bundesgericht in San Francisco eingereicht, nachdem das Unternehmen bekannt gegeben hatte, dass der Hack monatelang unbemerkt geblieben war. Offenbar begannen die Hacker Ende April 2023 damit, mithilfe bereits im Internet durchgesickerter Anmeldedaten auf Kundenkonten zuzugreifen, und setzten ihre Aktivitäten bis September fort. Erst im Oktober erfuhr das Unternehmen endlich von den Hacks. Am 1. Oktober veröffentlichten Hacker die Namen, Privatadressen und Geburtsdaten von einer Million Nutzern aschkenasischer jüdischer Abstammung im Black-Hat-Hacking-Forum BreachForums.
Nachdem jemand auf den Beitrag mit der Bitte um Zugang zu „chinesischen Konten“ geantwortet hatte, hieß es in der Klageschrift, das Poster verlinke auf eine Datei mit Informationen über 100.000 chinesische Benutzer. Auf dem Plakat hieß es außerdem, man habe Zugang zu 350.000 chinesischen Profilen und könne bei ausreichendem Interesse weitere Informationen veröffentlichen. Darüber hinaus soll derselbe Poster Mitte Oktober zum Forum zurückgekehrt sein, um Daten über „wohlhabende Familien, die dem Zionismus dienen“ nach der Explosion im Al-Ahli Arab Hospital in Gaza zu verkaufen.
„Das aktuelle geopolitische und soziale Klima erhöht die Risiken“ für Benutzer, deren Daten offengelegt wurden, heißt es in der Klage, da die durchgesickerten Informationen deren Namen und Adressen enthielten. Die Kläger wollen, dass ihr Fall vor einem Geschworenengericht verhandelt wird, und fordern Schadensersatz, Strafzahlungen und andere Schadensersatzansprüche.