Das Gentest-Unternehmen 23andMe untersucht eine Datenpanne, bei der Kundendaten, darunter Profilfotos, Geburtsjahre und Abstammungsangaben von Millionen seiner Nutzer, offengelegt wurden.
Die kompromittierten Daten wurden durch unbefugten Zugriff auf individuelle 23andMe-Konten erlangt, so das Unternehmen in einer von Ars Technica veröffentlichten Erklärung. Vorläufige Ergebnisse deuten darauf hin, dass die Anmeldedaten, die für den Zugriff auf die Konten verwendet wurden, „möglicherweise von einem Bedrohungsakteur aus Daten gesammelt wurden, die bei Vorfällen mit anderen Online-Plattformen durchgesickert sind, bei denen Benutzer ihre Anmeldedaten wiederverwendet haben“, so 23andMe.
Bei dieser Technik, die als Credential Stuffing bekannt ist, werden Benutzernamen und Passwörter verwendet, die bei früheren Sicherheitsverletzungen aufgedeckt wurden, um in andere Online-Konten einzubrechen.
Nachdem behauptet wurde, dass jemand Zugang zu bestimmten 23andMe-Kundendaten erhalten hat und diese verkauft, haben wir eine Untersuchung durchgeführt. Wir haben keinen unbefugten Zugriff auf unsere Systeme festgestellt. Wir werden die Situation weiterhin beobachten.
– 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe sagte in einem Blog-Post, dass es keine Beweise für einen tatsächlichen Verstoß gegen seine Systeme hat. „Wir haben derzeit keine Hinweise darauf, dass es in unseren Systemen zu einem Datensicherheitsvorfall gekommen ist“, schrieb das Unternehmen.
Nach Angaben von Wired waren speziell Nutzer mit aschkenasisch-jüdischer Abstammung von dem Einbruch betroffen. Die Hacker hatten Anfang der Woche eine erste Datenprobe auf der Plattform BreachForums veröffentlicht und behauptet, sie enthalte 1 Million Datenpunkte ausschließlich über aschkenasische Juden.
Die Daten wurden durch das Abgreifen von Profilinformationen von Verwandten gewonnen, die über die Funktion „DNA-Verwandte“ von 23andMe verbunden sind, die es Kunden ermöglicht, sich mit genetischen Übereinstimmungen auf der Plattform zu verbinden. Durch den Zugriff auf kompromittierte Konten konnte der Hacker Profile von verwandten Nutzern sammeln, die der Weitergabe ihrer Informationen zugestimmt hatten.
„Wir glauben, dass der Bedrohungsakteur dann unter Verletzung unserer Nutzungsbedingungen auf 23andme.com-Konten ohne Autorisierung zugegriffen und Informationen von diesen Konten erhalten hat“, erklärte 23andMe in seinem Blog-Post.
In der vergangenen Woche hat ein unbekannter Nutzer in Hackerforen für den Verkauf von 23andMe-Nutzerdaten geworben und behauptet, Informationen über mehr als 7 Millionen Kunden erhalten zu haben. Die durchgesickerten Daten enthielten „vollständige Namen, Benutzernamen, Profilfotos, Geschlecht, Geburtsdatum, genetische Abstammungsergebnisse und geografische Lage“, so BleepingComputer.
Ein anderer Forumsnutzer bot Berichten zufolge Zugang zu 23andMe-Profilen in großen Mengen an, wobei die Preise zwischen 1 und 10 Dollar pro Konto lagen.
23andMe gab keine Einzelheiten über die Anzahl der betroffenen Nutzer oder das Ausmaß des Datenlecks bekannt. Laut Ars Technica enthielt eine Datenbank 1 Million Kunden aschkenasischer jüdischer Abstammung, während eine zweite Datenbank 300.000 Nutzerprofile chinesischer Abstammung enthielt.
Sicherheitsexperten haben wiederholt auf die Risiken hingewiesen, die von kompromittierten genetischen Daten ausgehen. „Ihre DNA ist das Wertvollste, was Sie besitzen“, warnte das U.S. National Counterintelligence and Security Center im Februar 2021. „Sie enthält die intimsten Details Ihrer Vergangenheit, Ihrer Gegenwart und Ihrer potenziellen Zukunft – ob Sie zu Suchtverhalten neigen oder ein hohes Krebsrisiko haben.“
„Der Verlust Ihrer DNA ist nicht wie der Verlust einer Kreditkarte“, so das Zentrum weiter. „Sie können eine neue Kreditkarte bestellen, aber Sie können Ihre DNA nicht ersetzen. Der Verlust Ihrer DNA betrifft nicht nur Sie selbst, sondern auch Ihre Verwandten und möglicherweise nachfolgende Generationen.“
23andMe teilte mit, dass es den Einbruch den Strafverfolgungsbehörden gemeldet hat und forderte seine Kunden auf, ihre Passwörter zurückzusetzen und die Zwei-Faktor-Authentifizierung zu aktivieren.
„Wir überwachen und prüfen unsere Systeme aktiv und routinemäßig, um sicherzustellen, dass Ihre Daten geschützt sind“, sagte 23andMe. „Wenn wir durch diese Prozesse oder aus anderen Quellen Informationen erhalten, die behaupten, dass Unbefugte auf Kundendaten zugegriffen haben, gehen wir sofort der Frage nach, ob diese Informationen korrekt sind.“
Das Gentest-Unternehmen, das auf der Grundlage von DNA-Analysen Einblicke in die Abstammung und Gesundheitsrisiken bietet, hat seit seiner Gründung im Jahr 2006 genetische Daten von mehr als 14 Millionen Kunden gesammelt.
23andMe erklärte, die durchgesickerten Daten enthielten keine genomischen Details. Datenschützer haben jedoch seit langem Bedenken hinsichtlich der Sensibilität von DNA-Analyseergebnissen und ethnischen Daten geäußert, die durch einen Verstoß gefährdet werden könnten.
Der Verstoß gegen 23andMe erfolgt inmitten einer Welle größerer Cyberangriffe, bei denen sensible Nutzerdaten preisgegeben wurden. Im vergangenen Jahr wurden insgesamt 10,9 Millionen Konten geleakt, wobei jede Sekunde 10 Konten geleakt wurden, so das Unternehmen für digitalen Datenschutz Surfshark.
