23andme: Angeblich vier Millionen weitere Genanalyse-Daten geleakt
Noch immer ist nicht klar, was bei 23andme vorgefallen ist und was alles abgegriffen wurde. Nun wurden angeblich weitere Listen mit Nutzerdaten geleakt.
(Bild: nevodka/Shutterstock.com)
Fast zwei Wochen nachdem das Genanalyse-Unternehmen 23andme einen möglichen Verlust von Daten der Kundschaft eingeräumt hat, hat der mutmaßliche Angreifer Millionen weiterer Datensätze online gestellt. Das geht aus einem Eintrag in einem Cybercrime-Forum hervor, der inzwischen nicht mehr abrufbar ist. Dort wurden mehr als vier Millionen Einträge zu Kundinnen und Kunden mit Wurzeln in Großbritannien verbreitet. In einer weiteren CSV-Datei sind Daten zu fast 140.000 Menschen enthalten, bei denen eine deutsche Herkunft festgestellt wurde. Die Echtheit der Daten konnte noch nicht überprüft werden. Insgesamt behauptet der Unbekannte, im Besitz von hunderten Terabyte an Daten zu sein.
Die Datensätze enthalten die IDs, Namen und Geburtsjahr der Nutzerinnen und Nutzer, zeigt eine Analyse von heise online. Hinzu kommen die Orte, an denen die gegenwärtig leben und Angaben zu den geografischen Gebieten, in denen 23andme die Herkunft der Personen nach Analyse der Daten verortet. Außerdem enthalten die geleakten Datensätze Angaben zur jeweiligen Haplogruppe für das Y-Chromosom (Y-DNA) und für die mitochondriale DNA.
Zweifel an den Erklärungen von 23andme
Weil 23andme weiterhin keine genauen Angaben zu den Vorgängen machen will, bleibt unklar, was genau passiert ist. Das Unternehmen hatte Anfang Oktober eingeräumt, dass Daten von Menschen, die ihre Gene von 23andme haben analysieren lassen, von Kriminellen zum Verkauf angeboten wurden. Betroffen waren demnach aber nicht nur Kunden, die ihre DNA-Ergebnisse für die Suche nach Verwandten innerhalb der Plattform freigegeben haben, sondern auch die Profile dieser Verwandten. Das Unternehmen hat behauptet, dass von dem Leck nur Konten betroffen seien, deren Besitzer die gleichen Zugangsdaten auch bei anderen Diensten benutzt haben. Sie wären damit Opfer von Credential Stuffing.
Der unbekannte Angreifer hatte zum Beweis für die Echtheit der Daten die Profile von 23andme-Gründerin Anne Wojcicki und von Google-Mitgründer Sergey Brin veröffentlicht – die beiden waren von 2007 bis 2015 verheiratet. Tage nach Bekanntwerden des Lecks hat 23andme die Kundschaft aufgefordert, Passwörter auf der Internetplattform zu ändern. In einem Blogeintrag versicherte die Bioltechnologiefirma, dass die Untersuchung des Vorfalls noch andauere. Weitere Details gibt es darin aber nicht. Wegen der unzureichenden Informationspolitik und des Vorwurfs, dass die Daten nicht ausreichend geschützt wurden, sind laut BleepingComputer in den USA bereits mehrere Klagen gegen 23andme eingereicht worden.
(mho)