23andme: Datendiebstahl erfolgte angeblich über fünf Monate
Als 23andme im Oktober ein Datenleck bemerkt hat, wurde das seit April ausgenutzt. Das hat die Firma jetzt eingestanden. Sie sieht sich neuen Klagen gegenüber.
(Bild: nevodka/Shutterstock.com)
23andme hat den im Herbst bekannt gewordenen immensen Datendiebstahl fünf Monate lang nicht bemerkt. Das geht aus einer Mitteilung des Genanalyse-Unternehmens an das Justizministerium des US-Bundesstaats Kalifornien hervor. Darin heißt es, dass die Angriffe wohl von April bis September 2023 erfolgt sind, 23andme selbst hat demnach erst am 1. Oktober einen ersten Hinweis erhalten. Das heißt, dass es den unbekannten Verantwortlichen etwa ein halbes Jahr lang möglich war, Zugangsdaten von anderen Diensten bei 23andme auszuprobieren und sich damit nach und nach Zugang zu tausenden Accounts zu verschaffen. Darüber gelangten die Angreifer dann aber an Millionen Daten.
Chinesen und Juden im Visier
Dass es Kriminellen gelungen war, Daten abzugreifen, hat 23andme dann am 5. Oktober eingestanden. Stückweise war herausgekommen, dass es Unbekannten mittels Credential Stuffing gelungen war, auf rund 14.000 Accounts zuzugreifen. Wegen einer besonderen Funktion von 23andme konnte der Angriff dann aber massiv ausgeweitet werden. Über die gekaperten Accounts hatten sie Zugriff auf Daten von Millionen Accounts, deren DNA-Ergebnisse für die Suche nach Verwandten innerhalb der Plattform freigegeben haben. Diese Datensätze umfassen teils sensible Informationen, die die jeweiligen Nutzer und Nutzerinnen selbst eingetragen haben, sowie Daten zur ermittelten Verwandtschaft, zu Familiennamen und zur Herkunft.
Gegenüber Betroffenen hat 23andme nun eingeräumt, dass die Angriffe per Credential Stuffing monatelang erfolgt sind, heißt es in der Mitteilung an die kalifornische Regierung. Während die Unbekannten dadurch die volle Kontrolle über die gekaperten Accounts erlangt haben, konnten sie von verknüpften Konten nur bestimmte Informationen abgreifen, versichert das Unternehmen. Dabei geht es demnach um Usernamen, Art der Verwandtschaft, Prozent der identischen DNA und gegebenenfalls Wohnorte und Geburtsjahre. Je nachdem, was die Betroffenen auf der Plattform für die Einsicht durch andere freigegeben haben, seien unter Umständen auch weitere Daten betroffen.
Wegen des Diebstahls und des Umgangs damit wurden bereits mehrere Klagen gegen 23andme eingereicht. In einer aus der vergangenen Woche wird dem Unternehmen nun auch vorgeworfen, bestimmte ethnische Gruppen einem besonderen Risiko ausgesetzt zu haben, berichtet die New York Times. Darin wird darauf verweisen, dass die erbeuteten Datensätze im Herbst auch in speziell zusammengestellten Listen im Darknet zum Verkauf angeboten wurden. Das habe demnach Kunden und Kundinnen betroffen, bei dem 23andme eine chinesische oder eine aschkenasisch jüdische Herkunft ermittelt hat. Die Betroffenen fürchten demnach, damit ins Visier genommen zu werden und verlangen Schadensersatz.
(mho)