Anfang dieser Woche gab 23andMe zu, dass es sich um einen Hackerangriff im Oktober handelte dramatisch schlimmer als das Unternehmen zunächst zugab, waren 6,9 Millionen Menschen betroffen, nicht die 14.000, die es ursprünglich gemeldet hatte. 23andMe folgte mit einem vorgezogenen Weihnachtsgeschenk für die Nutzer: einer Aktualisierung der Nutzungsbedingungen, die die Nutzer dazu zwingen würde das Recht aufgeben, das Unternehmen zu verklagen. Zu den gestohlenen Daten gehören vollständige Namen, genetische Informationen und mehr, doch trotz der Sensibilität der Informationen reagierten einige Verbraucher mit einem Achselzucken. Als ein Ein TikTok-Benutzer hat ein Video kommentiert zum Thema „Was werden sie tun, um mich zu klonen?“
Hacker werden Ihre DNA-Informationen wahrscheinlich nicht nutzen, um aus Ihnen einen im Labor gezüchteten kleinen Bruder zu machen, aber Experten sind sich einig: Dieser Hack ist eine Katastrophe.
„Die Wahrheit ist, dass niemand von uns heute die Auswirkungen dieses Verstoßes vollständig kennt, sondern nur die Gewissheit, dass er mit der Zeit schlimmer werden wird“, sagte Albert Fox Cahn, Geschäftsführer des Surveillance Technology Oversight Project. „Die Fähigkeit, DNA-Daten als Waffe zu nutzen, wird umso akuter, je leistungsfähiger die Computer werden. Von unseren Gesundheitsprofilen über unsere Stammbäume bis hin zu weitaus subtileren Details unserer Biologie könnte dieser Hack möglicherweise so viel enthüllen.“
Laut einem Sprecher von 23andMe haben Hacker Daten gestohlen, darunter Namen, Geburtsjahr, Beziehungsbezeichnungen, Familiennamen und Standort von Personen. Weitere 1,4 Millionen Menschen, die sich für DNA Relatives angemeldet hatten, hatten auch „Zugriff auf ihre Stammbaum-Profilinformationen“. Das Schlimmste waren jedoch die genetischen Informationen. Hacker stahlen nicht nur Informationen über den Prozentsatz der DNA-Benutzer, die sie mit Verwandten teilten, sondern 23andMe ließ auch Abstammungsberichte und übereinstimmende DNA-Segmente durchsickern (insbesondere die Stellen auf ihren Chromosomen, in denen sie und ihre Verwandten übereinstimmende DNA hatten).
Es scheint, dass diese Daten bereits zum Verkauf stehen. Verdrahtet berichtete im Oktober, dass ein Benutzer zum Zeitpunkt des Datenverstoßes in einem bekannten Hackerforum für gestohlene 23andMe-Daten geworben habe. Der Nutzer veröffentlichte als Beweis die angeblichen Daten von einer Million Nutzern jüdischer aschkenasischer Abstammung und 100.000 chinesischen 23andMe-Nutzern und verlangte 1 bis 10 US-Dollar pro Person im Datensatz.
Generell sind Unternehmen gesetzlich verpflichtet, ihre Kunden vor Datenschutzverletzungen zu schützen. Der 23andMe-Hack könnte das Unternehmen in die Gefahr von Klagen bringen, doch die Rechtsabteilung hat ein kurzes Update herausgegeben, um dies zu verhindern.
23andMe reagierte nicht sofort auf eine Bitte um einen Kommentar.
Das Unternehmen veröffentlichte letzte Woche eine Aktualisierung seiner Nutzungsbedingungen (zufälligerweise ungefähr zu der Zeit, als es die Securities and Exchange Commission über sein Hacking-Debakel informierte). Die Richtlinienaktualisierung zwingt Benutzer zu einem verbindlichen Schiedsverfahren, das ein Mittel zur außergerichtlichen Beilegung von Streitigkeiten darstellt, wie erstmals von berichtet wurde Stapeltagebuch. 23andMe verbietet ausdrücklich eine Sammelklage gegen das Unternehmen, es sei denn, jede Person lehnt das Schiedsverfahren ab. Wenn Sie eine betroffene Person sind, können Sie sich abmelden, indem Sie innerhalb von 30 Tagen, also bis zum 30. Dezember, eine E-Mail [email protected] senden. Dieses Detail finden Sie am Ende des fünften Abschnitts mit den aktualisierten Nutzungsbedingungen.
Für viele ist es schwer zu verstehen, warum es wichtig ist, dass all diese Daten im Internet herumschwirren. Hacks und Verstöße passieren ständig, ganz zu schweigen von den Billionen Datenpunkten, die Unternehmen wie Google und Meta mit „legitimeren“ Mitteln anhäufen.
Das Problem besteht laut Experten darin, dass man die Folgen selten direkt spürt. Ihre persönlichen Daten werden hinter verschlossenen Türen auf komplizierte und undurchsichtige Weise für alle möglichen Zwecke verwendet. Es hat dramatische Auswirkungen auf Ihr Leben, Sie wissen einfach nie, welche Daten für ein bestimmtes Dilemma verantwortlich sind.
„Wenn man sich das größere System der kommerziellen Profilerstellung ansieht, wirkt sich das manchmal tatsächlich auf den Verlust von Chancen aus“, sagte Suzanne Bernstein, Rechtswissenschaftlerin am Electronic Privacy Information Center, gegenüber Gizmodo. „Die von Ihnen erfassten Daten bestimmen, was Ihnen angeboten wird und was nicht. Das kann etwas Harmloses sein, etwa welche zielgerichteten Anzeigen Sie sehen oder welche E-Mail-Blasts Sie erhalten, aber es ermöglicht auch Diskriminierung.“
In der Vergangenheit wurden Verbraucherdaten genutzt, um bestimmte Bevölkerungsgruppen von Stellenangeboten oder freien Wohnungen auszuschließen. Die im Internet herumschwirrenden persönlichen Daten werden bei Einstellungsentscheidungen und Kreditanträgen verwendet, Versicherungsgesellschaften nutzen sie sogar zur Festlegung von Prämien. Und je detailliertere Informationen Kriminelle ausgraben können, desto wahrscheinlicher ist es natürlich, dass Sie Opfer eines Identitätsdiebstahls werden.
Genetische Informationen scheinen mit diesen Problemen nichts zu tun zu haben, aber das ist nicht der Fall.
Sie können Ihre genetischen Informationen nicht ändern, daher sind sie an sich sensibel, sagte Bernstein. „Es kann aber auch verwendet werden, um Rückschlüsse auf andere Gesundheitsinformationen zu ziehen, etwa eine Diagnose oder eine medizinische Familienanamnese“, sagte sie. „Es besteht die ernsthafte Gefahr, dass dies Teil der Profilierung wird, die im breiteren Ökosystem stattfindet.“
Und das hängt nur mit der Art und Weise zusammen, wie wir heute wissen, dass DNA-Informationen genutzt werden können. Die Genwissenschaft ist ein sich schnell entwickelndes Feld. Es ist nicht abzusehen, was diese Informationen in Zukunft enthüllen könnten.
„Datenschutz und Überwachung sind stark kontextabhängig, und mit der Entwicklung neuer genetischer Analyse-, Targeting- und Überwachungstechnologien wird sich der Kontext rund um den Datenschutz und die Überwachung genetischer Daten in einer Weise stark verändern, die viele Menschen heute nicht vorhersehen können“, sagte Justin Sherman, Senior Fellow bei Duke’s Sanford School of Public Policy und Gründer von Global Cyber Strategies.
23andMe hat sich zwar nicht gänzlich von seiner Verantwortung distanziert, doch seine öffentlichen Äußerungen zu dem Hack klingen nach Schuldzuweisungen des Opfers. Ein Sprecher sagte, der Datenverstoß sei darauf zurückzuführen, dass Personen Passwörter wiederverwendeten, die sie für andere Konten verwendet hatten. Anscheinend nutzten Hacker Passwörter, die anderswo durchgesickert waren, um in die Konten von 14.000 Personen einzudringen, eine ganz einfache Sicherheitslücke, die als Credential Stuffing bekannt ist.
Da 23andMe als Datensammel-Panoptikum konzipiert ist, das Kunden dazu drängt, ihre Daten mit allen zu teilen, von anderen Benutzern bis hin zu den Partnern des Unternehmens in der Pharmaindustrie, konnten die Hacker diese 14.000 kompromittierten Konten nutzen, um Informationen über Millionen anderer Menschen auf der Website zu stehlen Plattform.
Die Wiederverwendung von Passwörtern ist problematisch, aber Sicherheitsexperten wissen, dass schlechte Passwortpraktiken eine Garantie dafür sind. Laut Experten war der 23andMe-Hack leicht vermeidbar.
Nicht zuletzt: „Es ist inakzeptabel, dass 23andMe es versäumt hat, für den Kontozugriff eine Zwei-Faktor-Authentifizierung (2FA) zu fordern“, sagte Patrick Jackson, Chief Technology Officer bei Disconnect, einem Unternehmen für digitale Sicherheit. „Angreifer zielen häufig auf Websites mit sensiblen Daten wie 23andMe ab, insbesondere auf solche ohne erforderliche 2FA, was sie anfällig für Credential-Stuffing-Angriffe macht.“