Unbekannten Hacker*innen ist es gelungen, vertraulichen Daten von Millionen Nutzer*innen der Genanalyse-Plattform 23andMe zu erbeuten. Der Hack wurde erstmals im Oktober bekannt, doch erst jetzt räumte 23andMe das volle Ausmass des Datendiebstahls ein, wie «Techcrunch» berichtet.
Bei 23andMe können Nutzer*innen eine Speichelprobe einsenden. In bestimmten Ländern kann die Plattform dann mittels DNA-Analyse mitteilen, ob sie ein genetisch erhöhtes Risiko für bestimmte Krankheiten hat.
Ausserdem führt 23andMe eine Haplogruppen-Analyse durch, durch die Nutzer*innen erfahren, aus welchen Teilen der Erde die eigenen Vorfahren stammen. Das ist gerade in traditionellen Einwanderungsländern wie den USA ein besonders beliebtes Feature. Auch bisher unbekannte Verwandtschaft lässt sich über Plattformen wie 23andMe finden, was etwa von Adoptivkindern und solche, die mittels einer Samenspende gezeugt wurden, genutzt wird.
Das jetzige Datenleck nahm seinen Anfang in der Kompromittierung von 14'000 Accounts. Laut 23andMe konnten die Hacker*innen dort eindringen, weil die betroffenen Nutzer*innen ein Passwort verwendet hatten, das bei einem Hack einer anderen Plattform erbeutet wurde. Die eigenen Sicherheitssysteme seien nie überwunden worden, so 23andMe.
Die Plattform muss sich allerdings die Frage gefallen lassen, warum sie eine solche massenhafte Kompromittierung nicht durch zusätzliche Massnahmen, etwa die inzwischen branchenübliche 2-Faktor-Authentifizierung, unterbinden konnte.
Fast die Hälfte aller Nutzer betroffen
Der wirklich grosse Schaden wurde allerdings durch die Funktion «DNA Relatives» ermöglicht, mit der man «genetische Verwandte» finden kann. Von solchen «Verwandten» ist dann unter anderem der vollständige Name, das Geburtsjahr und der Wohnort abrufbar. Die 14'000 gehackten Accounts führten somit zum Zugriff auf die Daten von 5,5 Millionen von deren «Verwandten».
Eine weitere Funktion namens «Family Tree», die etwa weniger persönliche Informationen preisgab, betraf dann noch 1,5 Millionen weitere Nutzer*innen, sodass fast die Hälfte der rund 14 Millionen 23andMe-Nutzer*innen von dem Datenleck betroffen war.