Es ist ein Vorfall, der zeigt, wie sich kleine Auswirkungen bei verketteten (Pyramiden-) Systemen" ausweiten und eine große Anzahl Individuen treffen können. Beim US-Biotechnologie-Unternehmen 23andMe, die Gentests und DNA-Tests für Genealogie durchführen, hat es einen Hack gegeben, bei dem der Angreifer Daten abziehen konnte. Nun hat 23andMe den Vorfall bestätigt und angegeben, dass nur 0,1 % der Benutzerkonten kompromittiert wurden. Durch den Hack der ca. 14.000 Konten sind aber Daten von 6,9 Millionen Personen tangiert, da es Verkettungen zu den gehackten Konten gibt.
Anzeige
Das US-Biotechnologie-Unternehmen 23andMe ist im Bereich der DNA-Tests und Genetik-Tests aktiv. Das 2006 gegründete Unternehmen bietet seit Dezember 2007 Privatpersonen eine Untersuchung ihrer genetischen Informationen an. War das Angebot zunächst auf Kunden aus den USA begrenzt, wurden die Anaylysemöglichkeiten mit der Zeit auf zahlreiche andere Länder ausgeweitet. DNA-Tests sind unter anderem in Deutschland, Österreich und der Schweiz verfügbar. Der Preis für eine solche Analyse wurden in mehreren Stufen von anfangs $999 auf $99 zuzüglich Versandkosten gesenkt (Stand Januar 2019).
Der 23andMe-Hack
Beim Anbieter 23andMe hat es einen Cybervorfall gegeben, bei dem Millionen Kundendaten (Analysen des menschlichen Genoms) erbeutet wurden. Erst hat der Anbieter alles abgestritten. Im Oktober 2023 wurden dann eine Million Datensätze von aschkenasischen Juden in einem Untergrundforum veröffentlicht. Kurze Zeit später wurden weitere erbeutete Daten von 4,1 Millionen Kunden aus Deutschland und Großbritannien veröffentlicht.
Der Anbieter 23andMe schrieb dann, dass man "von verdächtigen Aktivitäten erfahren habe" und annimmt, dass auf einige wenige Kundendaten zugegriffen worden sein könnte. Zum 20. Oktober 2023 teilte das Unternehmen dann mit, dass man im Rahmen der laufenden Sicherheitsuntersuchung als zusätzliche Vorsichtsmaßnahme zum Schutz der Privatsphäre der Kunden einige Funktionen des DNA-Verwandtschaftsabgleichs vorübergehend deaktiviert habe. Ich hatte im Blog-Beitrag Kundendaten von Genom-Analyseanbieter 23andMe im Netz aufgetaucht über den Vorfall berichtet.
Aktuell herrscht bei diesem Anbieter aber "CYBER-Week", so dass "schnelle Kunden" die Analyse mit 50% Rabatt bekommen könnten. Soll zum 4. Dez. 2023 enden und ist auf drei Analysen begrenzt. Das Wörtchen "Cyber" hat etwas morbiden Charme, da es ja den obigen Cybervorfall gab. Nun hat der Anbieter mehr Details seiner Untersuchung des Sicherheitsvorfalls bekannt gegeben.
Ich bin über obigen Tweet auf den Sachverhalt gestoßen, der u.a. von Techcrunch in diesem Beitrag aufgegriffen wurde. In einer Mitteilung an die US SEC (SECURITIES AND EXCHANGE COMMISSION) hatte das Unternehmen eingestanden, dass ein Angreifer auf 0,3% der Benutzerkonten zugreifen konnte. Da das Unternehmen Millionen Kunden besitzt, bedeutet dies, dass Daten von ca. 14.000 23AndMe-Benutzerkonten abgegriffen wurden.
Der Zugriff konnte per "Credential Stuffing" erfolgen, bei denen Kombinationen aus Benutzernamen und Passwörtern bei 23AndMe durchprobiert wurden, die auch auf anderen Websites verwendet wurden. Und dort waren die Daten nach einer Kompromittierung oder über andere Wege verfügbar.
Anzeige
23AndMe gab gegenüber der SEC weiterhin an, dass der Angreifer auf Daten, die in den kompromittierten Konten gespeichert waren, zugreifen konnte. Es handelte sich in der Regel Informationen über die Abstammung und – für eine Untergruppe dieser Konten – gesundheitsbezogene Informationen, die auf den genetischen Daten des Benutzers basierten. Es hieß zudem, dass der Bedrohungsakteur auch auf eine beträchtliche Anzahl von Dateien Zugriff hatte, die Profilinformationen über die Abstammung anderer Nutzer enthielten. Die Daten waren bei der Anmeldung für die DNA-Verwandtenfunktion von 23andMe freigegeben worden.
Gegenüber Techcrunch hat 23andMe-Sprecherin Katie Watson per E-Mail bestätigt, dass der oder die Hacker auf die persönlichen Daten von etwa 5,5 Millionen Personen zugegriffen haben, die sich für die DNA-Verwandtenfunktion von 23andMe entschieden hatten. Zu den gestohlenen Daten gehörten der Name der Person, das Geburtsjahr, Beziehungskennzeichnungen, der Prozentsatz der mit Verwandten geteilten DNA, Abstammungsberichte und der selbst angegebene Standort.
23andMe bestätigte laut Techcrunch auch, dass eine weitere Gruppe von etwa 1,4 Millionen Personen, die sich für die Funktion "DNA Relatives" entschieden hatten, ebenfalls "Zugriff auf ihre Familienstammbaum-Profilinformationen hatten". Zu diesen Profilinformationen gehören der Anzeigename, Beziehungskennzeichnungen, Geburtsjahr, der selbst angegebene Standort und die Entscheidung des Nutzers, seine Informationen zu teilen. Inzwischen ist also die Zahl der potentiellen Opfer, die in der SEC-Mitteilung mit "andere Nutzer" umschriebene wurde, wohl 6,9 Millionen Personen betrifft.
Ähnliche Artikel:
Kundendaten von Genom-Analyseanbieter 23andMe im Netz aufgetaucht
60% der Amerikaner mit europäischer Abstammung über öffentliche DNA-Datenbanken identifizierbar
2015
Ein Hack tangiert immer mehr als die Personen die gehackt würden. Gü ich meine das du hier ein bissl überteaserst.
"Da das Unternehmen Millionen Kunden besitzt"
Woher weisst du das?
Es gibt dazu eine schöne Southpark Folge wo Randy Marsh sich quasi sexuell missbrauchen lässt, anyway.
Das ARD Verbrauchermagazin "Kontraste" hat mal die gleiche DNA Probe an 5 verschiedende Anbieter geschickt, von billig bis teuer, und 5 unterschiedliche Ergebnisse zurück bekommen. Mehr muss man dazu nicht sagen.
Kundenanzahl bei Endgaget , Techchrunch oder SEC
Kundenzahl Geschäftsbericht 14 Mio. 23andme und Report
Schaden/Aufwand 1-2 Mio$ hier bei SEC
Betroffene 0.1% , großer Hebel verknüpfte Accounts SEC: "significant number of files"
Hebel "Relatives" 23andMe @Engadget "..accessed ..DNAR profiles of roughly 5.5" Mio
Hebel "Relatives" Genealogy bei Techchrunch "owner.. about 5000 relatives discovered through 23andMe"
@Sebastian 14.000 * 5.000 = bis zu 7 Mio.
Damn – Menschen vermehren sich wie Tauben. Wenn Du schon einmal vor einem 10K€ und einem 100K€-Sequenzer gestanden hast ahnt man wo (neben Transport,Entnahme,etc) Abweichungen oder Ungenauigkeit herkommt.
Lass es nur Eine, 5 , 7 oder doch 8 Mio sein. Der Hebel ist enorm – mit EINEM Account, EINER Checkbox "DNS Relatives" und der modellierten DB.