23andMe bestätigt, dass Hacker Abstammungsdaten von 6,9 Millionen Nutzern gestohlen haben

 (techcrunch.com)
1 Punkte von GN⁺ 2023-12-06 | 1 Kommentare | Auf WhatsApp teilen

23andMe-Hack: Diebstahl von Abstammungsdaten von 6,9 Millionen Menschen bestätigt

  • Das Gentest-Unternehmen 23andMe gab bekannt, dass Hacker auf persönliche Daten von Kunden sowie auf eine erhebliche Zahl von Dateien zugreifen konnten, die personenbezogene Daten von rund 14.000 Personen und Profilinformationen zur Abstammung anderer Nutzer enthielten.
  • Die Hacker griffen auf personenbezogene Daten von etwa 5,5 Millionen Personen zu, die der DNA-Relatives-Funktion von 23andMe zugestimmt hatten. Zu den gestohlenen Daten gehörten Namen, Geburtsjahr, Verwandtschaftsbezeichnungen, der mit Verwandten geteilte DNA-Anteil, Abstammungsberichte und selbst angegebene Standorte.
  • Außerdem wurden bei etwa 1,4 Millionen Nutzern, die der DNA-Relatives-Funktion zugestimmt hatten, Profilinformationen aus dem Familienstammbaum abgerufen. Dazu gehörten Anzeigename, Verwandtschaftsbezeichnungen, Geburtsjahr, selbst angegebener Standort und ob Informationen geteilt wurden.

Werbung für das Datenleck in Hacker-Foren

  • Anfang Oktober behauptete ein Hacker in einem bekannten Hacking-Forum, DNA-Informationen von 23andMe-Nutzern gestohlen zu haben. Er veröffentlichte Daten von 1 Million Menschen mit aschkenasisch-jüdischer Abstammung und 100.000 chinesischen Nutzern und verlangte für individuelle Kontodaten zwischen 1 und 10 Dollar.
  • Später bewarb derselbe Hacker im selben Forum zusätzlich 4 Millionen weitere Datensätze. TechCrunch stellte außerdem fest, dass bereits zwei Monate zuvor ein anderer Hacker in einem separaten Hacking-Forum gestohlene Kundendaten von 23andMe angeboten hatte.
  • Von TechCrunch analysierte Daten, die schon vor einigen Monaten geleakt wurden, stimmten teilweise mit Datensätzen von Personen überein, die aus Hobbygründen genetische Informationen online veröffentlicht hatten. Das deutet darauf hin, dass die von den Hackern veröffentlichten Daten zumindest teilweise echte Kundendaten von 23andMe sind.

Datenleck durch Passwort-Wiederverwendung

  • In seiner im Oktober veröffentlichten Offenlegung des Vorfalls erklärte 23andMe, dass das Datenleck durch Passwort-Wiederverwendung seitens der Kunden verursacht wurde.
  • Die Hacker konnten mit Passwörtern, die durch Datenlecks bei anderen Unternehmen öffentlich geworden waren, per Brute-Force-Angriff in die Konten der Opfer eindringen.
  • Da die DNA-Relatives-Funktion Nutzer mit ihren Verwandten abgleicht, ermöglicht die Kompromittierung eines einzelnen Kontos nicht nur den Zugriff auf die Daten des Kontoinhabers, sondern auch auf persönliche Daten seiner Verwandten, was die Zahl der Betroffenen erhöht.

Meinung von GN⁺

Der wichtigste Punkt dieses Artikels ist, dass der Gentest-Dienst 23andMe von einem massiven Datenleck betroffen war. Der Vorfall hat offengelegt, dass Abstammungsdaten von rund 6,9 Millionen Nutzern von Hackern gestohlen wurden, was fast der Hälfte aller 23andMe-Kunden entspricht. Das Datenleck wurde durch Passwort-Wiederverwendung verursacht und erinnert erneut daran, wie wichtig Online-Sicherheit ist. Interessant an diesem Artikel ist, dass er zeigt, wie sensibel genetische Informationen sind und wie solche Daten in die falschen Hände geraten können. Er kann dazu beitragen, das öffentliche Bewusstsein für Datenschutz und Cybersicherheit zu schärfen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-12-06
Hacker-News-Kommentare

  • Die Bedeutung des Datenschutzes

    • Es wird darauf hingewiesen, dass es die eigenen Daten offenlegen kann, wenn Verwandte genomische Daten über Dienste wie 23andMe teilen.
    • Es wird gehofft, dass Datensammlung zum Verhalten auch andere Menschen mit gemeinsamem Hintergrund betreffen kann.

  • Probleme mit den aktualisierten 23andMe-Nutzungsbedingungen

    • Das an Thanksgiving angekündigte Update der Nutzungsbedingungen verbietet Sammelklagen, verlangt ein 60-tägiges informelles Verfahren vor rechtlichen Schritten und schreibt verbindliche Schiedsverfahren vor.
    • Es wirkt, als hätten 23andMe-Anwälte dies so formuliert, dass Kunden faktisch kaum noch rechtliche Rechte haben.

  • Fragen zur Zukunft des Datenschutzes

    • Machine-Learning-Algorithmen entwickeln sich in eine Richtung, in der sie Menschen allein anhand ihres Gangs identifizieren und Texte allein anhand von Tastaturgeräuschen entschlüsseln können.
    • Es wird die Sorge geäußert, dass es mit öffentlichen Daten und fortschrittlichen Algorithmen schwierig wird, das heutige angemessene Maß an Datenschutz aufrechtzuerhalten.

  • Erfahrung mit der Bitte zur Teilnahme an einem DNA-Analyseprogramm eines Krankenhauses

    • Ein Krankenhaus bot an, zuvor entnommene Blutproben für eine DNA-Analyse zu verwenden.
    • Dies wird als Beispiel dafür genannt, dass Datenschutzgesetze in den USA faktisch kaum existieren; in Europa dürften Proben nicht ohne Einwilligung aufbewahrt werden.

  • Verdacht auf das 23andMe-Datenleck

    • 14.000 Konten wurden auf einmal kompromittiert, und Hacker griffen über die Funktion „DNA Relatives“ auf personenbezogene Daten von 6,9 Millionen Menschen zu.
    • Das bedeutet, dass jedes Konto im Durchschnitt Informationen zu 492 eindeutigen Verwandten enthielt.

  • Persönliche Skepsis gegenüber der Nutzung von 23andMe

    • Der Dienst wird nicht in Betracht gezogen, weil die Sorge größer ist, wie Regierungen diese Informationen nutzen könnten, als was Hacker damit tun würden.

  • Links zu aktuellen Nachrichten über 23andMe

    • Es werden Nachrichtenlinks zu Datenlecks und Hacking-Vorfällen rund um 23andMe aus Dezember und Oktober 2023 bereitgestellt.

  • Diskussion über Credential Stuffing

    • Es wird betont, dass Entwickler von Webanwendungen Schutzmaßnahmen gegen Credential Stuffing ergreifen sollten.
    • Die gehashte Passwortdatenbank von Troy Hunt wird als gute Verteidigungsmaßnahme genannt.

  • Die Möglichkeit, dass Datensammelunternehmen gehackt werden

    • Es wird die Ansicht geäußert, dass letztlich jedes Unternehmen, das Daten sammelt, irgendwann gehackt wird.

  • Möglichkeit einer Sammelklage durch Personen, die 23andMe nicht genutzt haben

    • Es wird die Frage aufgeworfen, ob man auch dann Datenschutzrechte geltend machen kann, wenn ein Verwandter 23andMe genutzt hat.