23andme: "Fahrlässige" User selbst schuld an Datendiebstahl, Klagen zwecklos
Ăśber den Zugriff auf 14.000 Accounts konnten Unbekannte Daten von Millionen Usern von 23andme abgreifen. Das Unternehmen ist sich aber keiner Schuld bewusst.
23andme hat nach einem immensen Datendiebstahl jede Verantwortung von sich gewiesen und hält die Opfer im Herzen des Geschehens für selbst schuld. Das jedenfalls geht aus einem Brief hervor, den die Anwaltskanzlei des Genanalyse-Unternehmens an die Vertretung einer Sammelklage geschickt und den TechCrunch nun veröffentlicht hat. Darin werden alle Vorwürfe als unbegründet zurückgewiesen und dringend dazu geraten, die Klage zurückzuziehen. Schuld an dem Datendiebstahl seien jene – rund 14.000 – Nutzer und Nutzerinnen, die Zugangsdaten von anderen Diensten bei 23andme wiederverwendet haben. Mit den über deren Konten abgegriffenen Daten von mehreren Millionen anderen Accounts könne "kein Schaden" angerichtet werden.
"Keine monetären Schäden" möglich
Anfang Oktober hat 23andme öffentlich gemacht, dass Daten von Menschen, die ihre Gene haben analysieren lassen, von Kriminellen zum Verkauf angeboten wurden. Nach und nach war herausgekommen, dass es Unbekannten mit Credential Stuffing gelungen war, auf rund 14.000 Accounts zuzugreifen. Das heißt, sie haben sich mit erbeuteten Zugangsdaten von anderen Diensten einloggen können, weil die für 23andme wiederverwendet wurden. Während dieser Einbruch bei insgesamt 14 Millionen Accounts aber vergleichsweise klein gewesen wäre, wurde er wegen einer besonderen Funktion von 23andme deutlich umfangreicher.
Über die gekaperten Accounts hatten die unbekannten Kriminellen Zugriff auf Daten von fast sieben Millionen Accounts, deren DNA-Ergebnisse für die Suche nach Verwandten innerhalb der Plattform freigegeben haben. Diese Datensätze umfassen teils sensible Informationen, die die jeweiligen Nutzer und Nutzerinnen selbst eingetragen haben, sowie Daten zur ermittelten Verwandtschaft, zu Familiennamen und zur Herkunft. 23andme hat immer wieder versichert, dass keine Ergebnisse der Genanalyse selbst abgegriffen wurden. Mit diesen Daten habe man aber keinen monetären Schaden anrichten können, weil sich darunter keine Sozialversicherungsnummern, Führerscheinnummern oder Daten aus Bezahldiensten befunden hätten, behauptet das Unternehmen.
Die Anwälte von 23andme versuchen also offenbar, die Schuld an dem Einbruch jenen Usern zuzuschieben, die "fahrlässig" Zugangsdaten wiederverwendet haben. Den Millionen anderen sei kein Schaden entstanden. Andererseits hat 23andme nach dem Einbruch von allen Usern einen Passwortwechsel verlangt und Zwei-Faktor-Authentifizierung zwingend vorgeschrieben. Zusätzliche Sicherungsmaßnahmen, die auch gegen Credential Stuffing geholfen hätten, waren also möglich. Noch bevor 23andme den Datendiebstahl eingestanden hat, hat das Unternehmen außerdem die Nutzungsbedingungen dahingehend geändert, dass Sammelklagen von Betroffenen schwieriger würden, hat TechCrunch schon im Dezember berichtet.
(mho)