23andMe, das weltweit führende Unternehmen zur DNA-Sammlung von Verbrauchern, gab am Freitag bekannt, dass Hacker die Abstammungsinformationen von etwa 14.000 Personen sowie „eine beträchtliche Anzahl von Dateien“ über andere Benutzer gestohlen haben. Es stellt sich heraus, dass das Wort „erheblich“ in diesem Satz eine große Rolle spielt. Entsprechend TechCrunch23andMe verlor Daten von etwa 6,9 Millionen Nutzern, darunter auch genetische Informationen der Menschen.
Falls Sie keinen Taschenrechner zur Hand haben: Das ist fast 50.000 % mehr als die Zahl, die 23andMe erstmals gemeldet hat.
In einer E-Mail bestätigte ein 23andMe-Sprecher, dass Hacker Daten von etwa 5,5 Millionen Benutzern gestohlen haben, die sich für die Funktion „DNA-Verwandte“ des Unternehmens entschieden hatten, darunter den Namen der Person, das Geburtsjahr, Beziehungsbezeichnungen, den Prozentsatz der DNA-Benutzer, die mit Verwandten geteilt wurden, Abstammungsberichte und Standort. Weitere 1,4 Millionen Menschen, die sich für DNA Relatives angemeldet hatten, hatten auch „Zugriff auf ihre Stammbaum-Profilinformationen“.
Der Sprecher sagte, die gestohlenen Daten könnten auch Abstammungsberichte und übereinstimmende DNA-Segmente (insbesondere die Stellen auf ihren Chromosomen, in denen sie und ihre Verwandten übereinstimmende DNA hatten), Geburtsorte und Familiennamen der Vorfahren, Profilbilder und alles, was Benutzer in der „Stellen Sie sich vor“ enthalten, umfassen. Abschnitt ihrer Profile.
Das bedeutet, dass 23andMe die Kontrolle über die Daten von etwa der Hälfte seiner 14 Millionen Nutzer verloren hat, und nicht nur über die 0,1 %, die es in einem ausdrücklich erwähnt hat Einreichung mit der Securities and Exchange Commission. Die SEC reagierte nicht sofort auf eine Bitte um Stellungnahme.
Nach Angaben des Sprechers hängt die Diskrepanz damit zusammen, wer direkt auf seine Daten zugegriffen hat. „Basierend auf unserer Untersuchung haben wir festgestellt, dass der Bedrohungsakteur auf einen sehr kleinen Prozentsatz (0,1 %) der Benutzerkonten (etwa 14.000) zugreifen konnte“, sagte der Sprecher. Durch die Teilnahme an der DNA Relatives-Funktion können Sie jedoch auch Daten über andere Benutzer einsehen. Mit anderen Worten: Durch die 14.000 gehackten Konten wurden Informationen über exponentiell mehr Personen freigeschaltet.
DNA Relatives ist nur eine von vielen Funktionen zum Datenaustausch, die die Plattform den Benutzern zur Verfügung stellt, wenn sie sich für ein 23andMe-Konto anmelden.
Der 23andMe-Sprecher sagte, dass es sich bei dem Hack um einen Credential-Stuffing-Angriff handele, was bedeutete, dass die Hacker mit durchgesickerten Benutzernamen und Passwörtern, die die Leute bei der Anmeldung bei 23andMe wiederverwendet hatten, in einzelne Konten eindrangen. Das Recycling von Passwörtern bedeutet leider, dass Sie danach fragen, aber große Online-Plattformen verfügen oft über Sicherheitsmaßnahmen, um Massen-Credential-Stuffing zu verhindern.
„Bemerkenswert ist, dass wir keine Hinweise darauf haben, dass es in unseren Systemen einen Verstoß oder einen Datensicherheitsvorfall gegeben hat oder dass 23andMe die Quelle der bei diesen Angriffen verwendeten Kontoanmeldeinformationen war“, sagte der Sprecher.
23andMe sagte, es habe alle seine Benutzer in den Wochen nach dem Angriff gezwungen, ihre Passwörter zu ändern. Leider wird es Ihnen viel schwerer fallen, Ihre DNA zu verändern, was einer der vielen Gründe ist, warum Sie die Weitergabe von genetischem Material an ein privates Unternehmen vielleicht noch einmal überdenken sollten.