23andme: Genanalyse-Daten womöglich schon vor Monaten abgegriffen, Ausmaß unklar
Die Genanalysefirma gibt sich weiter bedeckt über die Herkunft von Nutzerdaten, die zum Verkauf stehen. Die Kundschaft soll aber doch die Passwörter wechseln.
(Bild: gopixa/Shutterstock.com)
Das Genanalyse-Unternehmen 23andme fordert nach dem mutmaßlichen Verlust von Daten der Kundschaft diese nun doch dazu auf, Passwörter auf der zugehörigen Internetplattform zu ändern. Das teilte die Biotechnologiefirma in einem Blogeintrag mit, in dem sie gleichzeitig versichert, dass die Untersuchung des Vorfalls andauere. Weitere Details gibt es darin aber nicht.
Derweil berichtet TechCrunch, dass das entwendete Material offenbar bereits vor zwei Monaten in einem Cybercrime-Forum zum Verkauf angeboten wurde. Damals sei sogar behauptet worden, dass von 23andme insgesamt 300 Terabyte an Kundendaten abgegriffen wurden. Für 50 Millionen US-Dollar würde es genau einmal verkauft, habe es damals geheißen. Zum Beweis für die Echtheit der Daten seien die Profile von 23andme-Gründerin Anne Wojcicki und von Google-Mitgründer Sergey Brin dort publiziert worden – die beiden waren von 2007 bis 2015 verheiratet.
Ausmaß des Vorfalls weiterhin unklar
Was genau bei 23andme passiert ist, bleibt damit weiterhin unklar. Das Unternehmen hatte Ende der vergangenen Woche publik gemacht, dass Daten von Menschen, die ihre Gene von 23andme haben analysieren lassen, von Kriminellen zum Verkauf angeboten wurden. Betroffen waren demnach aber nicht nur "bestimmte Kunden", die ihre DNA-Ergebnisse für Suche nach Verwandten innerhalb der Plattform freigegeben haben, sondern auch die Profile dieser Verwandten.
Laut ersten Medienberichten soll es sich um rund eine Million Datensätze handeln, die die Namen und Profilbilder, das Geburtsdatum sowie die Ergebnisse der Genanalyse umfassen. Die jüngsten Medienberichte legen aber nahe, dass es um weitaus mehr geht, so sollen laut TechCrunch allein eine Million Nutzer der Plattform mit aschkenasischen Wurzeln und 100.000 Chinesen betroffen sein. Insgesamt weckt das auch Zweifel an der Darstellung, dass nur Menschen betroffen sind, die bei 23andme Zugangsdaten benutzt haben, die andernorts erbeutet wurden, die also Opfer von Credential Stuffing sind.
Nachdem 23andme den Nutzern und Nutzerinnen anfangs lediglich erläutert hat, wie starke Passwörter aussehen sollen, hat sich die Firma nun doch entschieden, einen Passwortwechsel zu verlangen. Darauf wird per E-Mail hingewiesen, aber auch wer die nicht bekomme, komme mit den alten Zugangsdaten nicht mehr in den Account, berichtet TechCrunch. 23andme "ermutigt" die Kundschaft außerdem, die Zwei-Faktor-Authentifizierung einzurichten, hier bleibt es aber bei der Empfehlung. Wenn bei den internen Untersuchungen – zu denen auch US-Strafverfolgungsbehörden herangezogen worden seien – Hinweise darauf zu finden seien, dass es auf bestimmte Accounts nicht autorisierte Zugriffe gegeben habe, werde man die Betroffenen informieren, versichert das Unternehmen noch.
(mho)
