23andMe enthüllt das Ausmaß des jüngsten Hackerangriffs auf seine Plattform

23andMe gab kürzlich einen Datenverstoß bekannt, bei dem Hacker unbefugten Zugriff auf rund 14.000 Kundenkonten erlangten. Dies entspricht 0,1 % des umfangreichen Kundenstamms. Der Anfang Oktober aufgedecktedentverdeutlichte die Ausnutzung einer Technik namens „dentStuffing“. Dabei dringen Hacker in ein Konto ein, indem sie ein bekanntes Passwort verwenden, das möglicherweise aus anderen Datenlecks stammt.

23andMe gibt an, dass Hacker auf Dateien über die Abstammung der Nutzer zugegriffen haben.

Die kompromittierten Daten umfassten Abstammungsinformationen der ersten 14.000 Nutzer. Bei einem Teil dieser Konten wurden auch gesundheitsbezogene, auf der Genetik der Nutzer basierende Informationen offengelegt. Die Auswirkungenreichten jedoch über die direkt betroffenen Kunden hinaus. Grund dafür ist die Funktion „DNA-Verwandte“ von 23andMe, mit der Nutzer bestimmte Informationen mit anderen Nutzern teilen können, die diese Funktion ebenfalls aktiviert haben. So entsteht ein Netzwerk miteinander verbundener Profile.

Folglich könnten Hacker durch den Zugriff auf das Konto eines Opfers potenziell die persönlichen Daten von Personen einsehen, die mit diesem ersten Opfer in Verbindung stehen. Obwohl das Unternehmen keine genauen Zahlen über die anfänglichen 14.000 hinaus nannte, räumte es ein, dass eine „erhebliche Anzahl“ von Dateien mit Profilinformationen zur Abstammung anderer Nutzer kompromittiert wurde. Bemerkenswerterweise reagierte 23andMe nicht auf Anfragen nach einer Erläuterung dieser Zahlen, was bei den Nutzern Besorgnis über das Ausmaß des Datenlecks auslöste.

Der Datenverstoß veranlasste 23andMe zu sofortigen Maßnahmen und forderte die Nutzer dringend auf, ihre Passwörter zurückzusetzen oder zu ändern. Darüber hinaus empfahl das Unternehmen die Einführung der Multi-Faktor-Authentifizierung, einen entscheidenden Schritt zur Erhöhung der Sicherheit. Am 6. November ging das Unternehmen noch einen Schritt weiter und verpflichtete alle Nutzer zur Zwei-Faktor-Authentifizierung, um den Schutz der Nutzerkonten weiter zu verstärken. Eine Analyse der gestohlenen Daten, die später in Hackerforen veröffentlicht wurden, ergab, dass diese Informationen über die genetische Abstammung der Nutzer enthielten.

Auswirkungen des Angriffs und Reaktionen der Industrie

Einige Datensätze stimmten mit Angaben in öffentlichen Genealogie-Aufzeichnungen überein, was darauf hindeutet, dass die offengelegten Informationen möglicherweise schon seit Jahren online kursierten. Verschärft wurde die Situation durch den Versuch eines Hackers, die mutmaßlichen Datensätze von Millionen Nutzern zu verkaufen – zu Preisen zwischen 1 und 10 US-Dollar pro Person. Der Datenverstoß wurde erstmals öffentlich bekannt, als Hacker die Daten von einer Million Nutzern jüdisch-aschkenasischer und 100.000 chinesischen Nutzern in einem bekannten Hackerforum anboten.

Anschließend erweiterte derselbe Hacker sein Angebot um weitere vier Millionen Nutzerdatensätze. Beunruhigenderweise hatte ein anderer Hacker in einem anderen Forum zuvor behauptet, im Besitz von 300 Terabyte gestohlener 23andMe-Nutzerdaten zu sein und forderte eine hohe Summe für die gesamte Datenbank oder bot Teile davon zum Verkauf an. Als Reaktion auf diesen weitreichenden Datenverlust passte 23andMe seine Sicherheitsmaßnahmen an. Erzwungene Passwortzurücksetzungen und die Empfehlung der Zwei-Faktor-Authentifizierung waren erste Schritte, um die Auswirkungen des Datenlecks zu minimieren.

Die daraufhin verpflichtende Einführung der Zwei-Faktor-Authentifizierung zielte darauf ab, die Sicherheit der Nutzer zu erhöhen und unberechtigten Zugriff zu verhindern. Die Folgen des Datenlecks reichten weit über das Unternehmen selbst hinaus. In der Folge verstärkten auch andere DNA-Testanbieter wie Ancestry und MyHeritage ihre Sicherheitsmaßnahmen, indem sie die Zwei-Faktor-Authentifizierung für ihre Nutzer vorschrieben. Dieser Vorfalldent die wachsenden Herausforderungen für Unternehmen, die mit sensiblen genetischen und personenbezogenen Daten arbeiten, und unterstrich die Notwendigkeit robuster Cybersicherheitsmaßnahmen zum Schutz von Nutzerdaten vor böswilligen Angreifern.