Das DNA-Analyseunternehmen 23andme hat einen Datendiebstahl bestätigt. Laut einem Bericht von Wired sollen mindestens eine Million Datenpunkte auf der Hackerforum-Website Breachforums aufgetaucht sein.
Kurioserweise scheint es so, als hätte es keinen Angriff auf das System des Unternehmens gegeben. 23andme zufolge haben die Angreifer die Anmeldeinformationen einer Gruppe von Nutzern erraten und von dort aus weitere Daten gesammelt.
Um aus den wenigen Profilen mehr Daten zu erhalten, nutzten sie ein Feature namens DNA-Relatives. Mit diesem Feature können Nutzer der Website ihre Informationen mit anderen teilen.
Daten vorwiegend von aschkenasischen Juden
Im Breachforum tauchte eine erste Datenprobe mit rund einer Million Datenpunkten auf, die laut Post exklusiv von aschkenasischen Juden stammen. Zusätzlich sollen Daten von Hunderttausenden Nutzern aus China betroffen sein.
Der Angreifer bot die Datensätze in Profilen zu Preisen zwischen einem und zehn US-Dollar zum Verkauf an. Enthalten sind darin Nutzername, Geschlecht, Geburtsdatum und vage Angaben zur Herkunft wie „weitgehend europäischer“ oder „weitgehend arabischer“ Abstammung. Die generischen Rohdaten scheinen allerdings nicht enthalten zu sein.
„Wir wurden darauf aufmerksam gemacht, dass bestimmte Kundenprofilinformationen von 23andme durch den Zugriff auf individuelle 23andme.com-Konten zusammengestellt wurden“, teilte das Unternehmen in einer Erklärung mit.
„Wir glauben, dass der Bedrohungsakteur dann möglicherweise, entgegen unseren Nutzungsbedingungen, ohne Autorisierung auf 23andme.com-Konten zugegriffen und Informationen aus diesen Konten erhalten hat.“
Daten werden auf Echtheit überprüft
Derzeit versucht 23andme zu validieren, ob die Nutzerinformationen aus dem Forum echt sind oder nicht. Interessanterweise sind in den Daten auch Informationen über Tech-Größen wie Elon Musk, Mark Zuckerberg und Sergey Brin zu finden.
Auffällig ist, dass Musk und Brin in dem Datensatz die gleiche Profil- und Account-ID zu haben scheinen. Es bleibt weiterhin unklar, ob die Daten echt sind oder vom Poster fabriziert wurden.
Die Echtheit der Daten, insbesondere im Hinblick auf die angeblichen Profile von Tech-Persönlichkeiten, wirft zusätzliche Fragen zur Glaubwürdigkeit und den möglichen Implikationen des Datendiebstahls auf.