Beim Angriff nutzten die Täter laut Klageschrift sogenanntes „Credential Stuffing". Diese Methode macht sich die Neigung von Nutzern zunutze, schwache oder gängige Passwörter zu verwenden oder dasselbe Passwort für mehrere Konten einzusetzen. Bontas Behörde betont, es habe sich um eine bekannte Angriffsart gehandelt, gegen die Unternehmen sich eigentlich wappnen müssten.

Die Angreifer setzten gestohlene Zugangsdaten ein, darunter auch solche aus einem großen Datenleck bei MyHeritage im Oktober 2017 – einem früheren Partner von 23andMe. Nach diesem Vorfall versäumte es 23andMe der Klage zufolge, übliche Schutzmaßnahmen zu ergreifen, etwa Kunden zum Zurücksetzen ihrer Passwörter aufzufordern oder eine Mehr-Faktor-Authentifizierung einzuführen.

„Die Sicherheitsvorkehrungen von 23andMe waren so lax, dass der Angreifer mehr als fünf Monate lang unentdeckt in den Systemen von 23andMe agieren konnte", heißt es in der Klageschrift. Bemerkenswerterweise habe das Unternehmen erst dann mit Ermittlungen begonnen, als der Angreifer die gestohlenen Daten im Darknet zum Verkauf anbot und 23andMe mit einer Lösegeldforderung kontaktierte.

Im Oktober 2023 tauchten die gestohlenen Daten im Darknet zum Verkauf auf. Der Anbieter hob dabei eigens hervor, dass die Daten von rund 1,1 Millionen Betroffenen asiatisch-pazifikinsularen sowie aschkenasisch-jüdischen Nutzern zuzuordnen seien. „Der Verkauf dieser Daten im Darknet fand in einer Zeit zunehmenden Hasses und zunehmender Gewalt gegen asiatischstämmige Amerikaner und Pazifikinsulaner sowie zunehmenden Antisemitismus statt", erklärte Bonta. „Das ist beunruhigend und außerordentlich gefährlich." Zu den entwendeten Daten gehörten unter anderem genetische Rohdaten, Gesundheitsberichte, mit Verwandten geteilte DNA sowie Wohnorte und Geburtsjahre von Verwandten.

Laut Klage täuschte 23andMe die Verbraucher auch nach Bekanntwerden des Lecks weiter über dessen Ausmaß und die eigene Rolle. Das Unternehmen gab an, erst im Oktober 2023 davon erfahren zu haben. Tatsächlich aber habe es bereits Monate zuvor aufgetretene Warnzeichen nicht angemessen untersucht – etwa einen „verdächtigen Anstieg der Anmeldeversuche" im Juli und einen Reddit-Beitrag im August, in dem über ein mögliches Leck und den Verkauf von Nutzerdaten diskutiert wurde.

Genetische Daten erforderten „eines der höchsten Schutzniveaus", und das kalifornische Recht schreibe eine „erhöhte gesetzliche Pflicht" zu ihrem Schutz vor, so die Klage. Bonta hatte zudem im Chapter-11-Insolvenz- und Vermögensverkaufsverfahren von 23andMe eingegriffen, um eine missbräuchliche Verwendung der genetischen Daten zu verhindern. Er argumentierte, der kalifornische Genetic Information Privacy Act verpflichte Unternehmen, vor dem Verkauf genetischer Daten an Dritte eine ausdrückliche Zustimmung der Kunden einzuholen. Der Verkauf wurde dennoch zugelassen.

2024 erklärte sich 23andMe bereit, in einer Sammelklage 30 Millionen Dollar zu zahlen. Die Summe wurde später auf 50 Millionen Dollar erhöht, um die meisten Ansprüche US-amerikanischer Kunden zu regeln; ein für das Insolvenzverfahren zuständiger Bundesrichter erteilte im Januar die endgültige Genehmigung.