23andMe Datenschutz-Schlamassel: Hacker stiehlt Millionen von Profilen

23andMe ist ein Unternehmen für persönliche Genomik und Biotechnologie mit Sitz in Sunnyvale, Kalifornien. In diesem Bundesstaat unterliegen die Daten dem CCPA - dem ersten Bundesgesetz dieser Art in den USA, das der DSGVO nachempfunden wurde.

Das Unternehmen wurde 2006 von Linda Avey, Paul Cusenza und Anna Wojcicki gegründet. Inzwischen hat es über 14 Millionen Kunden weltweit und ist damit ein führender Akteur auf dem 3-Milliarden-Dollar-Markt für Gentests.

Nachdem die Kunden eine Speichelprobe eingeschickt haben, erstellt 23andMe einen personalisierten genetischen Bericht, der eine interessante Lektüre darstellt. Welche Details genau enthalten sind, hängt vom gewählten Paket ab, wobei die Preise zwischen 100 und fast 300 Dollar liegen. Aber der Bericht kann alles abdecken, von der Abstammung bis zu genetischen Gesundheitsrisiken. Er kann auch Informationen zu körperlichen Merkmalen, sensorischen Eigenschaften und anderen Verhaltensmerkmalen enthalten.

Im Oktober 2023 kam es bei 23andMe zu zwei Datenlecks.

Erster 23andMe-Hack

Am 6. Oktober gab das Unternehmen bekannt, dass ein Hacker durch "Credential Stuffing" in seine Datenbank eingedrungen war. Der Cyberkriminelle griff auf persönliche Konten mit Anmeldedaten zu, die zuvor bei anderen Online-Diensten, bei anderen Datenschutzverletzungen und höchstwahrscheinlich von anderen Hackern gestohlen worden waren.

Da viele Menschen ihre Anmeldedaten für mehrere Konten wiederverwenden, funktioniert diese Taktik. Der Hacker umging die Sicherheitsprotokolle von 23andMe, indem er gültige Benutzernamen und Passwörter verwendete. Das Unternehmen hat daher allen Kunden geraten, ihre Passwörter sofort zu aktualisieren.

Zweiter 23andMe-Hack

Am 17. Oktober veröffentlichte derselbe Hacker einen neuen Datensatz über vier Millionen 23andMe-Kunden auf der Cybercrime-Website BreachForum.

Es scheint jedoch, dass die Kampagne bereits Monate vor dem Bekanntwerden des Lecks in der Öffentlichkeit und vielleicht sogar im Unternehmen selbst begann. Anfang August tauchte im Cybercrime-Forum Hydra im Dark Web Werbung für 23andMe-Daten auf. TechCrunch hat außerdem überprüft, dass diese Daten mit den Nutzerinformationen übereinstimmen, die Golum im Oktober zum Verkauf angeboten hat.

Neben der DNA-Abstammung enthalten die gestohlenen Daten auch E-Mail-Adressen, Geschlecht, Fotos und Geburtsdaten. Angreifer könnten diese Daten nutzen, um Nutzer aufgrund ihrer ethnischen Zugehörigkeit ins Visier zu nehmen, was die Befürchtung aufkommen lässt, dass Hacker die gestohlenen Informationen zur Förderung von Hassverbrechen nutzen könnten.

Bislang ist jedoch noch nicht viel über diesen Hack bekannt. Der Hacker Golum bleibt im Dunkeln, und es ist ebenso unklar, ob seine Motivation finanzieller oder politischer Natur war, oder wie er überhaupt an die Daten gelangt ist.

Frühere Datenschutzverletzungen bei 23andMe

Es ist auch erwähnenswert, dass dies nicht das erste Datenschutzproblem bei 23andMe ist. Im Jahr 2018 wurde bekannt, dass das Unternehmen genetische Daten von fünf Millionen Kunden an den Pharmakonzern GlaxoSmithKline (GSK) verkauft hat. Dies könnte zwar bei der Entwicklung besserer Medikamente helfen, gefährdet aber die Sicherheit persönlicher Daten.

Nach dem ersten Hack Anfang Oktober kündigte Golum, der zu diesem Zeitpunkt anonym war, auf dem Cybercrime-Marktplatz BreachForums an, dass er eine "eine Million Aschkenasi-Datenbank" zum Verkauf angeboten habe.

"Aschkenasisch" ist ein rabbinisches Wort, das sich auf die jüdische Diaspora bezieht, die seit dem Mittelalter entlang des Rheins in Deutschland und Frankreich gelebt hat.

Seit dem ersten 23andMe-Leak ist die Datenbank mit genetischen Profilen auf 4 Millionen Menschen angewachsen. Der Hacker behauptet, dass seine Handlungen aus Wut auf Israel und seine Unterstützer entstanden sind.

Diese Tat ist verwerflich, insbesondere in Anbetracht der Gewalt, die israelische Bürger in den letzten zwei Wochen erlebt haben.

Golum behauptet auch, dass der Datensatz einige der "reichsten Personen aus den USA und Westeuropa" enthält. Angeblich enthält diese Liste Daten über die britische Königsfamilie und prominente Familien wie die Rothschilds und Rockefellers.

Ein Drittel der gestohlenen Profile stammt jedoch aus Deutschland - einem Land, das eine kompromisslose Haltung zum Datenschutz einnimmt.

Berichten zufolge können einzelne 23andMe-Kundenprofile für 10 Dollar erworben werden. Der Preis sinkt auf 1 $ pro Profil, wenn man sie in großen Mengen kauft, d. h. in Losen von 100.000 Stück. Es ist jedoch schwierig, ihren wahren Wert zu bestimmen, da viele der 4 Millionen Kundenprofile bereits online erschienen sind, so dass Einzelpersonen sie im Wesentlichen kostenlos herunterladen können.

Das Datenschutzleck bei 23andMe ist zweifellos nicht das erste, das die Branche der Gentests für Direktkunden (DTC-GT) erlitten hat.

Im Februar 2023 legte das populäre DNA-Testunternehmen DNA Diagnostics Center (DDC) einen Rechtsstreit bei, der durch den Diebstahl einer Datenbank mit 2,1 Millionen Menschen entstanden war, die es "vergessen" hatte.

Die AWS-Datenbank von Vitagene enthielt jahrelang Verbraucherinformationen, bevor Experten das Problem im Jahr 2019 entdeckten. Im Jahr 2018 entdeckte jemand die Daten von über 92 Millionen MyHeritage-Konten auf einem privaten Server. Ancestry.com räumte 2017 ein, dass Angreifer auf die Benutzernamen, E-Mail-Adressen und Passwörter von 300.000 Nutzern zugegriffen hatten.

Jedes Jahr gibt es in der Branche ein bedeutendes Datenleck, einen Diebstahl oder eine Sicherheitsverletzung.

Das ist eine schlechte Nachricht, wenn man bedenkt, wie viele Menschen inzwischen in einen Briefumschlag gespuckt haben, um mehr über sich selbst zu erfahren. Im Jahr 2018 wurden mehr DNA-Tests gekauft als in jedem Jahr zuvor in der Geschichte zusammen. Und seit 2019 haben die vier größten DTC-GT-Unternehmen mehr als 26 Millionen Menschen weltweit getestet.

Wir von TWIPLA raten dringend davon ab, Ihre Speichelproben über das Internet zu versenden. Wir sind uns auch der Gefahren bewusst, die mit der Weitergabe persönlicher Daten und insbesondere sensibler biometrischer Informationen verbunden sind.

Die Übermittlung einer DNA-Probe an ein Drittunternehmen birgt in der Tat Risiken. Da es regelmäßig zu Datenschutzverletzungen, Hacks und Datenlecks kommt, sind persönliche Daten und das Dark Web eine gefährliche Kombination.

Und im Gegensatz zu anderen Datentypen können genetische Informationen nicht von persönlichen Identifikatoren befreit werden und geben sehr intime Details über die betroffene Person preis.

Kombiniert man die genetischen Informationen mit anderen persönlichen Angaben in den Kundenprofilen von 23andMe, ergeben sich Möglichkeiten für Identitätsdiebstahl, Betrug und sogar Erpressung auf der Grundlage genetischer Schwachstellen.

Versicherer und Arbeitgeber könnten die von dem Datenleck Betroffenen diskriminieren und ihre Chancen aufgrund der genetischen Ausstattung einer Person einschränken. Darüber hinaus besteht aufgrund der Natur genetischer Daten auch für Familienmitglieder ein Risiko.

Das ist das 23andMe-Datenschutz-Chaos erklärt

Es ist eine merkwürdige Zeit für Datenschutzbeauftragte.

Einerseits führen die politischen Entscheidungsträger immer wieder neue Gesetze ein, die den Umgang von Unternehmen mit den Daten von Internetnutzern einschränken.

Auf der anderen Seite wächst die Menge der online verfügbaren persönlichen Daten weiter an.

Die zunehmende Beliebtheit von Online-Gentests ist ein gutes Beispiel dafür, und die Datenschutzprobleme von 23andMe im letzten Monat zeigen, wie anfällig genetische Daten für Bedrohungen sind. Der Datenschutz ist nach wie vor ein Problem, aber zum Glück gibt es viele Einzelpersonen und Organisationen, die dafür kämpfen, Internetnutzer vor Schaden zu bewahren.

Wir bei TWIPLA glauben an die Stärkung der globalen Datenschutzgesetze und die Minimierung der persönlichen Daten, die Unternehmen über ihre Nutzer sammeln. Diese Grundsätze bilden die Grundlage für unsere Website Intelligence-Lösung. Deshalb arbeiten alle unsere Tools mit cookieless Tracking. Und im Max Privacy Mode erheben wir überhaupt keine persönlichen Daten.

Wenn Sie sich dem Kampf für einen stärkeren Datenschutz im Internet anschließen wollen, dann können Sie dazu beitragen, indem Sie Unternehmen wählen, die den Datenschutz ernst nehmen.

Melden Sie sich also bei TWIPLA an und sehen Sie, was Sie mit Website-Analysen tun können, ohne die Besucher zu gefährden.