23andme: Gehacktes Genanalyse-Start-up muss 30 Millionen Schadensersatz zahlen
Eine Sammelklage gegen 23andMe ist in einem Vergleich geendet. Betroffene Kunden werden mit insgesamt 30 Millionen Dollar entschädigt.
Ein Testkit von 23andme.
(Bild: nevodka/Shutterstock.com)
2023 wurde das Genanalyse-Start-up 23andMe Opfer einer Datenpanne – Kriminelle erbeuteten Datensätze von Millionen Kunden sowie auch ihrer möglichen Verwandten. Um eine Sammelklage beizulegen, zahlt das Unternehmen jetzt insgesamt 30 Millionen US-Dollar Schadensersatz an die betroffenen Kunden. Die Angreifer hatten es laut dem US-amerikanischen Onlinemedium The Verge offenbar vor allem auf die Daten aschkenasisch-jüdischer und chinesischer Nutzer abgesehen. Betroffen waren demnach über 6,9 Millionen Nutzer.
Die Geschädigten erhalten neben ihrem Anteil an der Entschädigungssumme voraussichtlich drei Jahre lang Zugang zu einem Sicherheitsüberwachungsprogramm. Bekanntgegeben hatte 23andMe das Datenleck im Oktober 2023, im Dezember desselben Jahres wurde das gesamte Ausmaß bekannt.
Zunächst ließ das Start-up lediglich verlauten, dass Angreifer möglicherweise auf einige Gen-Datensätze und andere Gesundheitsdaten zugegriffen hätten. Doch offenbar waren nicht nur Nutzer betroffen, deren Zugangsdaten bereits andernorts von Angreifern erbeutet worden waren. Es wurden also nicht nur Accounts mittels einer Taktik namens Credential Stuffing übernommen – dabei werden erbeutete Login-Daten auf allen möglichen Plattformen ausprobiert. Es wurden auch Geninformationen möglicher Verwandter der Opfer erbeutet und verkauft, die zuvor über die Plattformfunktion "DNA Relatives" ausfindig und dann mit den Profilen verknüpft worden waren.
Sammelklage endet in Vergleich
Im Januar reichten die betroffenen Kunden eine Sammelklage in einem in San Francisco ansässigen Gericht ein, die jetzt mit dem Vergleich endete. Laut Malwarebytes einigte man sich auf den Betrag von 30 Millionen Dollar mutmaßlich aus dem Grund, dass das Unternehmen gar nicht in der Lage gewesen wäre, mehr zu bezahlen. Die 30 Millionen Dollar könne es demnach nur stemmen, weil erwartet wird, dass 25 Millionen von einer Versicherung abgedeckt sind.
Auch in Großbritannien und Kanada will man das Datenleck untersuchen. Im Darknet wurden die erbeuteten Daten laut Malwarebytes in drei verschiedenen Bundles angeboten: eines mit den Daten aller Opfer, eines mit genetischen Informationen von aschkenasisch-jüdischen Nutzern und eines mit genetischen Daten chinesischer Nutzer.
(kst)
