23andme bestätigt Datenleck: Abstammungsprofile von rund 14.000 Nutzern entwendet
Accounts sind mittlerweile besser geschützt. (Foto: Michael Vi / Shutterstock)
Das Unternehmen 23andme, das Nutzern die Möglichkeit bietet, ihre DNA zur Bestimmung ihrer Abstammung einzureichen, hat kürzlich ein Datenleck bestätigt. Laut einer Einreichung bei der amerikanischen Securities and Exchange Commission konnten Hacker auf 0,1 Prozent der Kundendaten zugreifen.
Das Leck betrifft jedoch nicht nur die Daten der direkt gehackten Nutzerkonten. 23andme bietet ein Feature namens „DNA Relatives“, das es ermöglicht, Abstammungsdaten zwischen verschiedenen Accounts zu teilen. Durch den Vorfall hatten die Hacker somit nicht nur Zugriff auf die Daten der unmittelbar betroffenen Accounts, sondern auch auf jene Informationen, die mit diesen Accounts über die DNA-Verwandtschaftsfunktion geteilt wurden.
Rund 14.000 Accounts betroffen
Von dem Hackerangriff sind direkt etwa 14.000 Accounts betroffen. Diese Zahl wurde von Techcrunch ermittelt, basierend auf der Angabe von 23andme, dass 0,1 Prozent der Nutzer von dem Datenleck betroffen sind, während das Unternehmen in seinem Jahresbericht mehr als 14 Millionen Nutzer verzeichnet.
Die genaue Anzahl der Nutzer, die durch das „DNA Relatives“-Feature indirekt betroffen sind, bleibt jedoch unklar. Laut Angaben des Unternehmens enthielten die durch den Hack entwendeten Daten hauptsächlich allgemeine Informationen zur Abstammung der Nutzer.
Darüber hinaus wurde festgestellt, dass bei einem Teil der betroffenen Konten auch gesundheitsbezogene Informationen preisgegeben wurden, die auf der Genetik der Nutzer basieren.
Hack fand bereits im Oktober statt
Der Angriff auf 23andme ereignete sich bereits im Oktober. Daten, die angeblich aus diesem Hack stammen, wurden auf dem bekannten Hackerforum Breacherforum zum Verkauf angeboten. Das Angebot umfasste eine Probe mit rund einer Million Datenpunkten. Interessierte konnten einzelne Nutzerprofile für Preise zwischen einem und zehn US-Dollar erwerben.
Unmittelbar nachdem der Angriff bekannt geworden war, reagierte 23-and-Me, indem das Unternehmen alle Nutzer aufforderte, ihre Passwörter zu ändern. Im weiteren Verlauf, im November, führte der Anbieter die Zwei-Faktor-Authentifizierung als verpflichtende Sicherheitsmaßnahme ein, um die Accounts besser zu schützen.
