Es wurde bestätigt, dass der 23andMe-Verstoß im Oktober viel schlimmer war als ursprünglich gemeldet und 6,9 Millionen Menschen betraf, im Gegensatz zu den 14.000 Benutzern, die zunächst angenommen wurden.
Zu den durch den Verstoß gestohlenen Informationen gehörten die vollständigen Namen, Geburtsjahre, Beziehungsbezeichnungen und Standorte der Benutzer. Bei etwa 1,4 Millionen Nutzern waren auch die Stammbaum-Profilinformationen des Dienstes kompromittiert. Laut einem Sprecher könnten Hacker bei der Sicherheitsverletzung auch auf genetische Informationen zugreifen, darunter Details zu gemeinsamen DNA-Prozentsätzen, die mit Verwandten geteilt werden, und Einzelheiten wie die Chromosomenübereinstimmung.
Berichten zufolge wurden diese Daten bereits auf dem Schwarzmarkt zum Verkauf angeboten, wobei mehrere ethnische Gruppen bereits ins Visier genommen wurden und böswillige Akteure die Informationen einer einzelnen Person für 1 bis 10 US-Dollar pro Datensatz verkauften. In der Zwischenzeit scheint die Website zur Abstammungsverfolgung ihre Spuren zu verwischen, indem sie den Nutzern umgehend aktualisierte Nutzungsbedingungen zugesandt hat, in denen dargelegt wird, dass alle rechtlichen Beschwerden in dieser Angelegenheit außergerichtlich geklärt werden müssen. Dies würde es Nutzern verbieten, eine Sammelklage als Hauptklage einzureichen, es sei denn, sie entscheiden sich gegen eine private Einigung.
Wenn Benutzer eine Sammelklage einreichen möchten, müssen sie sich gemeinsam von einer privaten Streitigkeit abmelden und können dies tun, indem sie innerhalb von 30 Tagen nach der Aktualisierung, also am 30. Dezember, eine E-Mail [email protected] senden der fünfte Abschnitt der Aktualisierung der 23andMe-Nutzungsbedingungen, stellte Gizmodo fest.
In einer diesbezüglichen Erklärung versuchte 23andMe, die Verantwortung noch weiter abzuwälzen, indem es detailliert darlegte, dass der Verstoß darauf zurückzuführen sei, dass Mitglieder Passwörter von anderen Konten wiederverwendeten. Dieser weit verbreitete Cyberangriff, bekannt als Credential Stuffing, ermöglichte es Hackern, bereits geleakte Passwörter zu sammeln, um auf die ersten 14.000 Konten zuzugreifen. Laut einem Sprecher konnten sie von dort aus weitere Datenbanken des Unternehmens durchsuchen, um Informationen zu stehlen.
Derzeit sind die ersten Auswirkungen des Verstoßes nicht bekannt, werden sich aber mit der Zeit sicherlich bemerkbar machen. Experten haben detailliert darauf hingewiesen, dass selbst dann, wenn die Erhebung von Verbraucherdaten online legal ist, die Möglichkeit einer impliziten Verzerrung besteht, die sich auf Einstellungsentscheidungen, Wohnungsauswahl, Kreditanträge und Versicherungsprämien auswirken kann. In illegalen Fällen kann es zu Identitätsdiebstahl kommen.
Insbesondere hat Meta (ehemals Facebook) im April eine Sammelklage in Höhe von 725 Millionen US-Dollar beigelegt, in der dargelegt wurde, dass die Social-Media-Plattform die Daten von Benutzern und ihren Freunden aus Profitgründen an Dritte weitergegeben hat. Die Klage fügte hinzu, dass Facebook keine Regeln oder keinen Datenschutz dafür habe, wie Dritte mit den Daten seiner Nutzer interagieren sollten.
Der Verstoß gegen 23andMe birgt ebenfalls das Potenzial, dass genetische Daten in die falschen Hände geraten und dazu verwendet werden, auf der Grundlage von Gesundheitsinformationen wie einer Diagnose oder einer medizinischen Familienanamnese Rückschlüsse auf Personen zu ziehen, sagte Suzanne Bernstein, Rechtswissenschaftlerin am Electronic Privacy Information Center, gegenüber der Veröffentlichung.
Während die Benutzer des Unternehmens nicht über strenge Passworthygiene verfügten, weisen andere Experten darauf hin, dass eine Nischenorganisation wie 23andMe ihre Position aus Sicht der Cybersicherheit erkennen sollte. Das Hosten solch sensibler Daten macht das Unternehmen zu einem Hauptziel für Cyberangriffe und erfordert Backup-Anmeldeanforderungen wie die Zwei-Faktor-Authentifizierung (2FA).