Bildquelle, Getty Images
- Autor, Imran Rahman-Jones
- Rolle, Technologie-Reporter
Die Datenschutzbehörden von Großbritannien und Kanada werden im Oktober 2023 das Gentestunternehmen 23andMe wegen einer Datenschutzverletzung untersuchen.
Hacker verschafften sich durch die Verwendung alter Passwörter von Kunden Zugriff auf die persönlichen Daten von 6,9 Millionen Menschen, darunter in einigen Fällen Stammbäume, Geburtsjahre und geografische Standorte.
Die gemeinsame Taskforce wird unter anderem untersuchen, ob ausreichende Sicherheitsvorkehrungen zum Schutz dieser Daten getroffen wurden.
„Wir beabsichtigen, den angemessenen Anfragen dieser Regulierungsbehörden nachzukommen“, hieß es in einer Erklärung von 23andMe.
Die im Oktober gestohlenen Daten enthielten keine DNA-Aufzeichnungen.
23andMe ist ein Riese in der wachsenden Ahnenforschungsbranche und bietet genetische Tests auf Basis von DNA mit Aufschlüsselung der Abstammung und personalisierten Einblicken in die Gesundheit.
Nicht das Unternehmen selbst wurde gehackt. Vielmehr haben sich Kriminelle mit E-Mail- und Passwortdaten, die zuvor bei anderen Hacks offengelegt worden waren, bei etwa 14.000 Einzelkonten oder 0,1 % der Kunden angemeldet.
Die Kriminellen luden nicht nur die Daten dieser Konten herunter, sondern auch die privaten Informationen aller anderen Benutzer, zu denen sie in den Stammbäumen auf der Website Verbindungen hatten.
23andMe teilte damals mit, dass die betroffenen Kunden informiert und aufgefordert worden seien, ihre Passwörter zu ändern und die Kontosicherheit zu aktualisieren.
Nach Angaben des britischen Information Commissioner’s Office (ICO) können die von 23andMe gespeicherten Daten „Informationen über eine Einzelperson und ihre Familienmitglieder preisgeben, darunter über deren Gesundheit, ethnische Zugehörigkeit und biologische Verwandtschaftsverhältnisse“.
Das Unternehmen erklärte, dies bedeute, dass das Vertrauen der Öffentlichkeit in den Dienst „unverzichtbar“ sei.
Die gemeinsame Untersuchung der Datenschutzbehörden wird sich mit dem Ausmaß des Hacks und seinem potenziellen Schaden für die Nutzer befassen sowie damit, ob angemessene Sicherheitsvorkehrungen getroffen wurden.
Außerdem wird untersucht, wie 23andMe den Verstoß gemeldet hat und ob das Unternehmen in Großbritannien und Kanada die richtigen Prozesse befolgt hat.
„In den falschen Händen könnten die genetischen Informationen einer Person für Überwachung oder Diskriminierung missbraucht werden“, sagte Kanadas Datenschutzbeauftragter Philippe Dufresene.