Genetisch testbedrijf 23andMe onderzoekt een datalek waarbij klantgegevens, waaronder profielfoto’s, geboortejaren en vooroudergegevens van miljoenen gebruikers zijn blootgelegd.
De gecompromitteerde gegevens zijn verkregen door ongeautoriseerde toegang tot individuele 23andMe-accounts, aldus het bedrijf in een verklaring waarover Ars Technica bericht. Voorlopige resultaten suggereren dat de inloggegevens die zijn gebruikt om toegang te krijgen tot de accounts “mogelijk zijn verzameld door een bedreigende actor uit gegevens die zijn gelekt tijdens incidenten met andere online platforms waar gebruikers inloggegevens hebben gerecycled”, aldus 23andMe.
De techniek, bekend als credential stuffing, houdt in dat gebruikersnamen en wachtwoorden die bij eerdere inbraken zijn blootgelegd, worden gebruikt om in te breken in andere online accounts.
Naar aanleiding van een bewering dat iemand toegang heeft gekregen tot bepaalde klantgegevens van 23andMe en deze verkoopt, hebben we een onderzoek ingesteld. We hebben geen ongeautoriseerde toegang tot onze systemen vastgesteld. We zullen de situatie blijven volgen.
– 23andMeSupport (@23andMeSupport) Oktober 4, 2023
23andMe zegt in een blogpost dat het geen bewijs heeft van een daadwerkelijke inbreuk op zijn systemen. “We hebben op dit moment geen aanwijzingen dat er een databeveiligingsincident binnen onze systemen heeft plaatsgevonden,” schreef het bedrijf.
Volgens Wired was de inbreuk specifiek gericht op gebruikers van Asjkenazische joodse afkomst. Hackers plaatsten eerder deze week een eerste gegevensmonster op het platform BreachForums en beweerden dat het 1 miljoen datapunten bevatte die uitsluitend over Asjkenazische Joden gingen.
De gegevens werden verkregen door profielinformatie te schrapen van familieleden die verbonden waren via de functie “DNA Relatives” van 23andMe, waarmee klanten verbinding kunnen maken met genetische matches op het platform. Door toegang te krijgen tot gecompromitteerde accounts kon de hacker profielen verzamelen van verwante gebruikers die ervoor hadden gekozen om hun informatie te delen.
“We geloven dat de bedreigende actor vervolgens, in strijd met onze servicevoorwaarden, zonder toestemming toegang heeft gekregen tot 23andme.com-accounts en informatie van die accounts heeft verkregen”, legt 23andMe uit in zijn blogpost.
Op hackingforums adverteerde vorige week een onbekende gebruiker met de verkoop van 23andMe-gebruikersgegevens, waarbij hij beweerde informatie over meer dan 7 miljoen klanten te hebben verkregen. De gelekte gegevens omvatten “volledige namen, gebruikersnamen, profielfoto’s, geslacht, geboortedatum, genetische voorouderresultaten en geografische locatie”, volgens BleepingComputer.
Een andere forumgebruiker bood naar verluidt toegang tot 23andMe-profielen in bulk aan, met prijzen variërend van $1 tot $10 per account.
23andMe heeft geen details vrijgegeven over het aantal getroffen gebruikers of de omvang van het datalek. Maar volgens Ars Technica bevatte één database 1 miljoen klanten van Asjkenazische joodse afkomst, terwijl een tweede database 300.000 gebruikersprofielen van Chinese afkomst bevatte.
Beveiligingsexperts hebben herhaaldelijk gewezen op de risico’s van gecompromitteerde genetische gegevens. “Je DNA is het meest waardevolle dat je bezit”, waarschuwde het Amerikaanse National Counterintelligence and Security Center in februari 2021. “Het bevat de meest intieme details van je verleden, heden en potentiële toekomst – of je vatbaar bent voor verslaving of een hoog risico hebt op kanker.”
“Je DNA verliezen is niet hetzelfde als een creditcard verliezen”, vervolgt het centrum. “Je kunt een nieuwe creditcard bestellen, maar je kunt je DNA niet vervangen. Het verlies van je DNA heeft niet alleen gevolgen voor jou, maar ook voor je familieleden en mogelijk voor toekomstige generaties.”
23andMe zei dat het de inbreuk heeft gemeld aan de wetshandhaving en moedigde klanten aan om wachtwoorden opnieuw in te stellen en tweefactorauthenticatie in te schakelen.
“We monitoren en controleren onze systemen actief en routinematig om ervoor te zorgen dat uw gegevens worden beschermd”, aldus 23andMe. “Wanneer we informatie ontvangen via deze processen of uit andere bronnen waarin wordt beweerd dat klantgegevens zijn benaderd door onbevoegde personen, onderzoeken we onmiddellijk om te valideren of deze informatie juist is.”
Het genetische testbedrijf, dat inzicht biedt in voorouders en gezondheidsrisico’s op basis van DNA-analyse, heeft sinds de oprichting in 2006 genetische gegevens verzameld van meer dan 14 miljoen klanten.
23andMe zei dat de gelekte gegevens geen genomische details bevatten. Voorvechters van privacy hebben echter al lang hun zorgen geuit over de gevoeligheid van DNA-analyseresultaten en etnische gegevens die in gevaar kunnen komen bij een inbreuk.
De 23andMe-inbreuk komt midden in een golf van grote cyberaanvallen waarbij gevoelige gebruikersinformatie is blootgelegd. Vorig jaar werden in totaal 10,9 miljoen accounts gelekt, waarbij er elke seconde 10 accounts werden gelekt, volgens digitale privacyfirma Surfshark.
