Wissenschaftlerin analysiert DNA auf dem Computerbildschirm
Bei 23andMe können User auf Wunsch auch Verwandte über analysierte Gene finden.
Imago

Bereits im Oktober dieses Jahres wurde bekannt, dass sich anonyme Hacker unbefugt Zugriff auf Nutzerdaten der Genetikfirma 23andMe verschafft hatten. Wie sich nun herausstellt, sind weit mehr als 14.000 der etwa 14 Millionen Kundenkonten betroffen, wie "The Verge" berichtet. Tatsächlich ermöglichte das Datenleck den Zugriff auf die persönlichen Daten von mehr als 6,9 Millionen Nutzern. Dazu zählen nicht nur Informationen zur Abstammung, sondern auch gesundheitsbezogene Daten.

Der Zugriff auf Millionen von Daten war aus einem simplen Grund möglich: Viele 23andMe-Nutzer haben sich offenbar dafür entschieden, ihre genetischen Informationen mit Verwandten, einschließlich entfernten Cousins, zu teilen, um möglichst vollständige Stammbäume erstellen zu können und ihre Genetik besser zu verstehen. Folglich führte das Datenleck eines vergleichsweisen kleinen Teils der Konten zu einer umfassenden Offenlegung sensibler Daten.

Leicht ausgetrickst

Die konkrete Methode, mit der sich die Hacker Zugang zu den Daten verschafften, ist unter der Bezeichnung "Credential Stuffing" bekannt. Dabei handelt es sich um eine Art von Cyberangriff, bei dem Hacker große Mengen bereits gestohlener Benutzernamen und Passwörter verwenden, um sich damit auf anderen Websites oder Diensten anzumelden.

Dieser Angriff basiert auf der Tatsache, dass viele Personen leider immer noch dieselben Passwörter für verschiedene Online-Konten verwenden. Die Angreifer nutzen automatisierte Tools, um die gestohlenen Anmeldedaten massenhaft auf verschiedenen Websites auszuprobieren. Wenn sie erfolgreich sind, erhalten sie unbefugten Zugang zu Benutzerkonten.

Einem früheren Bericht von "Bleeping Computer" zufolge forderten Hacker für jeden Datensatz, den sie besitzen, einen Preis zwischen einem und zehn Dollar. Der Preis variiert je nach der Anzahl der gekauften Datensätze. Diese Datensätze beinhalten detaillierte Informationen wie den vollen Namen, Benutzernamen, Profilbilder, Geburtsdaten, Informationen über das Geschlecht und den geografischen Standort sowie Angaben zu den genetischen Vorfahren der betroffenen Personen.

Mangelhaft geschützt

In den USA sind Gesundheitsdaten im Allgemeinen zwar geschützt, die betreffende Regelung gilt jedoch nur für Gesundheitsdienstleister und zeigt eine Gesetzeslücke in Bezug auf die Sicherheit genetischer Daten auf, die sich im Besitz von DNA-Testunternehmen wie 23andMe befinden. Dieser Vorfall ist übrigens nicht der erste Hack in dieser Branche: Zuvor hatte die Federal Trade Commission bereits Vitagene, ein kleineres Unternehmen, nach einem ähnlichen Vorfall aufgefordert, seinen Datenschutz zu verbessern.

Das Unternehmen hat bestätigt, dass es keine Beweise für einen Verstoß gegen seine eigenen Systeme gab. Als Reaktion auf den Datendiebstahl hat 23andMe jedenfalls die Einführung einer Zwei-Faktor-Authentifizierung angekündigt, um die Sicherheit in Zukunft zu erhöhen. (red, 5.12.2023)