23andme: Daten zu 14.000 Accounts und Millionen "Verwandten" abgegriffen
Nach dem Datendiebstahl bei 23andme wurde nun die SEC informiert. Eingesehen wurden demnach 0,1 Prozent aller Accounts – aber Millionen damit verbundene Konten.
(Bild: nevodka/Shutterstock.com)
23andme hat die Untersuchung des Datenverlusts abgeschlossen und ermittelt, dass es Unbekannten gelungen ist, detaillierte Informationen von 0,1 Prozent der Kundschaft abzugreifen. Das wären bei 14 Millionen Kunden und Kundinnen rund 14.000 Accounts. Die Zahl stammt aus einer Mitteilung an die US-Börsenaufsicht SEC, in der das Genanalyse-Unternehmen versichert, dass der Angriff auf Credential Stuffing zurückgeht. Bei den Betroffenen seien Daten zur Herkunft, teilweise aber auch Informationen zur Gesundheit auf Basis der Genanalyse abgegriffen worden. Weiterhin hätten die Unbekannten aber auch eine "signifikante Menge" an Daten zur Herkunft anderer Menschen eingesehen, die mit den Opfern verwandt sind.
Laut Engadget geht es hier um fast sieben Millionen Accounts, die ihre DNA-Ergebnisse für die Suche nach Verwandten innerhalb der Plattform freigegeben haben und die Profile dieser Verwandten. Diese Datensätze umfassen demnach teils sensible Informationen, die die jeweiligen Nutzer und Nutzerinnen selbst eingetragen haben, sowie Daten zur ermittelten Verwandtschaft, zu Familiennamen und zur Herkunft. 23andme hat immer wieder versichert, dass keine Ergebnisse der Genanalyse selbst abgegriffen wurden
Kosten noch nicht absehbar
Das US-Unternehmen erklärt darüber hinaus, dass die Betroffenen informiert würden – so wie es gesetzlich vorgeschrieben sei. Darüber hinaus seien bestimmte Maßnahmen umgesetzt worden, um die Nutzerdaten besser zu schützen. So habe man nicht nur alle Nutzer und Nutzerinnen zu einer Passwortänderung verpflichtet, sondern verlange beim Einloggen seit Anfang November auch Zwei-Faktor-Authentifizierung. Insgesamt geht man bei 23andme davon aus, dass die Aufarbeitung des Vorfalls Kosten in Höhe von einer bis zwei Millionen US-Dollar verursacht. Außerdem weiß man bei dem Unternehmen von mehreren Sammelklagen, die wegen des Datenverlusts in den USA und Kanada eingereicht wurden. Deshalb könnten die Gesamtkosten nicht abgeschätzt werden.
Anfang Oktober hat 23andme öffentlich gemacht, dass Daten von Menschen, die ihre Gene haben analysieren lassen, von Kriminellen zum Verkauf angeboten wurden. Betroffen waren demnach aber nicht nur "bestimmte Kunden", die ihre DNA-Ergebnisse für Suche nach Verwandten innerhalb der Plattform freigegeben haben, sondern auch die Profile dieser Verwandten. Online einsehbare Daten hatten IDs, Namen und Geburtsjahr der Nutzerinnen und Nutzer enthalten. Hinzu kamen die Orte, an denen die leben und Angaben zu den geografischen Gebieten, in denen 23andme die Herkunft der Personen nach Analyse der Daten verortet. Laut 23andme waren von dem Leck nur Personen betroffen, die für ihren Account Zugangsdaten verwendet haben, die sie auch anderswo benutzt haben.
(mho)
