23andme: Daten des Gen-Analyse-Unternehmens von Cyberkriminellen geklaut

Angreifer haben offensichtlich Millionen Daten der Gen-Analyse-Firma 23andme geklaut, sie werden zum Verkauf angeboten.

In Pocket speichern vorlesen Druckansicht 125 Kommentare lesen
Equpiment in medizinischem Labor

(Bild: Elza_R/Shutterstock.com)

Lesezeit: 2 Min.

Daten von Menschen, die ihre Gene von 23andme haben analysieren lassen, werden zum Kauf angeboten – von kriminellen Hackern. Das Gen-Analyse-Unternehmen bestätigt einen Vorfall, bleibt aber bisher mit konkreten Informationen äußerst vage. "Nachdem wir von verdächtigen Aktivitäten erfahren haben, haben wir sofort eine Untersuchung eingeleitet", schreibt 23andme in einer Stellungnahme.

Zunächst klingt es dort so, als seien nur Menschen betroffen, deren Zugangsdaten bereits andernorts erbeutet wurden, die also Opfer von Credential Stuffing sind. Informationen von "bestimmten Kunden", die ihre DNA-Ergebnisse für die Funktion, Verwandte zu finden, freigegeben haben, seien zusammengetragen worden. Als entsprechend ungewöhnliche Aktivitäten auffielen, habe man reagiert. Dieses Vorgehen spricht freilich gegen die Nutzungsbedingungen, was jedoch für die Betroffenen nichts daran ändert, dass ihre Gen-Informationen offenbar verkauft werden.

Besonders problematisch: Es sind anscheinend nicht nur jene Personen betroffen, die ihre Zugangsdaten auf mehreren Plattformen nutzen und deren Passwörter den kriminellen Hackern bekannt waren, sondern auch die DNA-Profile möglicher Verwandter. Das erweitert den Kreis der Menschen, deren Gen-Informationen nun verkauft werden, um ein Vielfaches. Laut Wired sollen es rund eine Million Datensätze sein, die Namen, Profilbilder, Geburtsdatum und die Ergebnisse der Gen-Analyse beinhalten. 100 Profile sollen 1000 US-Dollar gekostet haben, 100.000 gab es für 100.000 US-Dollar. Diese Angebote sind derzeit nicht mehr aufzufinden.

Im Forum behaupten die Anbieter laut Wired zudem, es seien besonders viele Datensätze von Chinesen und aschkenasischen Juden. Sie sollen mit antisemitischen Verschwörungsideologien angepriesen worden sein, im Sinne von "Daten großer Wirtschaftsmagnate" und "Dynastien." Die Echtheit der Daten ist noch unklar.

In der Stellungnahme betont 23andme, dass ihre Systeme mehrfach zertifiziert seien und sie allen strengsten Sicherheitsanforderungen gerecht würden, Hinweise auf einen Sicherheitsvorfall gäbe es keine. "Wir überwachen und prüfen unsere Systeme aktiv und routinemäßig, um sicherzustellen, dass Ihre Daten geschützt sind." Auch empfehle man den Nutzerinnen und Nutzern seit 2019 eine Multifaktor-Authentifizierung. Die Stellungnahme endet mit Hinweisen zu starken Passwörtern. Das würde den potenziell Verwandten mit starken Passwörtern und 2FA in diesem Fall allerdings auch nicht helfen.

(emw)