Das Gentestunternehmen 23andMe untersuchte den Hack

Datenaufsichtsbehörden in Großbritannien und Kanada werden im Oktober 2023 gegen das Gentestunternehmen 23andMe wegen einer Datenpanne ermitteln.

Mithilfe der alten Passwörter der Kunden konnten die Hacker auf die persönlichen Daten von 6,9 Millionen Menschen zugreifen, darunter in einigen Fällen Stammbäume, Geburtsjahre und geografische Standorte.

Die gemeinsame Task Force wird unter anderem untersuchen, ob angemessene Sicherheitsvorkehrungen zum Schutz dieser Daten getroffen wurden.

„Wir beabsichtigen, den angemessenen Anfragen dieser Regulierungsbehörden nachzukommen“, sagte 23andMe in einer Erklärung.

Zu den im Oktober gestohlenen Daten gehörten keine DNA-Datensätze.

23andMe ist ein Riese in der wachsenden Branche der Ahnenverfolgung und bietet DNA-Gentests mit Abstammungsdetails und personalisierten Gesundheitseinblicken an.

Das Unternehmen selbst wurde nicht gehackt, sondern die Kriminellen loggten sich mit E-Mail- und Passwortdaten, die zuvor bei anderen Hacks offengelegt worden waren, in etwa 14.000 Einzelkonten bzw. 0,1 % der Kunden ein.

Die Kriminellen luden nicht nur Daten von diesen Konten herunter, sondern auch Informationen über alle anderen Benutzer, zu denen sie über Stammbäume auf der Website Links hatten.

Damals gab 23andMe an, betroffene Kunden benachrichtigt und sie aufgefordert zu haben, ihre Passwörter zu ändern und die Kontosicherheit zu aktualisieren.

Nach Angaben des britischen Information Commissioner’s Office (ICO) könnten die von 23andMe gespeicherten Daten „Informationen über die Person und Mitglieder ihres Haushalts preisgeben, einschließlich Informationen über ihre Gesundheit, ethnische Zugehörigkeit und biologischen Beziehungen“.

Sie sagte, dies bedeute, dass es für die Öffentlichkeit „wesentlich“ sei, dem Dienst zu vertrauen.

Die gemeinsame Untersuchung von Datenwächtern wird das Ausmaß des Verstoßes und den potenziellen Schaden untersuchen, den er den Nutzern zufügen könnte, sowie prüfen, ob es angemessene Schutzmaßnahmen gibt.

Es wird auch untersucht, wie 23andMe den Hack gemeldet hat und ob das Unternehmen die korrekten Prozesse in Großbritannien und Kanada befolgt hat.

„In den falschen Händen können die genetischen Informationen einer Person zu Überwachungs- oder Diskriminierungszwecken missbraucht werden“, sagte der kanadische Datenschutzbeauftragte Philippe Dufresne.