DatenschutzHackerangriffeSchwachstellen

Kaliforniens Generalstaatsanwalt verklagt 23andMe wegen massivem Datenschutz-Verstoß

Von CyberDeutsch Redaktion
Kaliforniens Generalstaatsanwalt verklagt 23andMe wegen massivem Datenschutz-Verstoß
Zusammenfassung

Der DNA-Testanbieter 23andMe gerät erneut unter Druck: Kaliforniens Generalstaatsanwalt Rob Bonta reicht Klage gegen das Unternehmen ein, weil es die sensiblen genetischen und persönlichen Daten von Millionen Kunden nicht angemessen geschützt hat. Der Hintergrund ist ein massiver Datenleck aus dem Jahr 2023, bei dem Hacker die Informationen von knapp 7 Millionen Kunden erbeuteten – darunter über 855.000 Kalifornier. Der Angriff erfolgte durch Credential-Stuffing, bei dem Betrüger schwache Passwörter ausnutzten. Das Leck legte nicht nur genetische Daten offen, sondern auch Gesundheitsprognosen, Abstammungsinformationen und DNA-Verwandtschaften. Besonders problematisch: 23andMe hatte zuvor öffentlich behauptet, höchste Sicherheitsstandards zu erfüllen, und versuchte dann, den Vorfall zu verharmlosen. Die Behörde wirft dem Unternehmen vor, gegen mehrere kalifornische Datenschutzgesetze verstoßen zu haben. Für deutsche Nutzer und Unternehmen ist dieser Fall relevant, da er zeigt, wie wichtig robuste Sicherheitsmaßnahmen bei genetischen Daten sind – ein Thema, das auch in Europa zunehmend an Bedeutung gewinnt und zur Vorsicht bei der Weitergabe sensibler Informationen an internationale Dienste mahnt.

Im Oktober 2023 wurde bekannt, dass Cyberkriminelle Zugang zu genetischen Daten von Millionen 23andMe-Nutzern hatten. Bedrohungsakteure boten die gestohlenen Datensätze zunächst zum Verkauf an und legten Datenproben vor, um die Echtheit zu beweisen. Das Unternehmen bestätigte später, dass die Lecks authentisch waren.

Als Ursache identifizierte 23andMe einen Credential-Stuffing-Angriff – Hacker nutzten also zuvor kompromittierte Anmeldedaten, um in Kundenkonten einzubrechen. Besonders problematisch: Die Eindringlinge exploiterten auch einen Programmierfehler im Feature “DNA Relatives”, das es Nutzern erlaubt, biologische Verwandte zu finden. Dadurch konnten sie nicht nur auf die etwa 855.000 Accounts von DNA-Relatives-Nutzern zugreifen, sondern auch auf eine deutlich größere Menge von Konten ohne dieses Feature.

Insgesamt wurden Daten von rund 6,9 Millionen Kunden kompromittiert, einschließlich genetischer Informationen, Gesundheitsprognosen, Abstammungsdaten und DNA-Übereinstimmungen.

Der kalifornische Generalstaatsanwalt wirft dem Unternehmen mehrere Versäumnisse vor: 23andMe hätte angemessene Schutzmaßnahmen gegen Credential-Stuffing-Attacken implementieren müssen, verpasste mehrere Gelegenheiten, den Eindringling zu erkennen, und übersah den kritischen Fehler im DNA-Relatives-System. Besonders schwerwiegend ist der Vorwurf der irreführenden öffentlichen Stellungnahmen. Vor dem Vorfall behauptete das Unternehmen, höchste Sicherheitsstandards zu erfüllen. Danach versuchte es, die Schwere des Vorfalls zu verharmlosen, indem es behauptete, die Daten seien größtenteils öffentlich, und beschuldigte Kunden der Passwort-Wiederverwendung.

Die Klage zitiert Verstöße gegen mehrere kalifornische Gesetze: das California Genetic Information Privacy Act, das California Reasonable Data Security Law, den California Consumer Privacy Act (CCPA), das False Advertising Law und das Unfair Competition Law. Der Generalstaatsanwalt fordert Unterlassungsverfügungen und Strafzahlungen zwischen 1.000 und 7.500 Dollar pro Verstoß.

Dieser Fall unterstreicht die Bedeutung robuster Datensicherheit, besonders bei sensiblen genetischen Informationen. Er zeigt auch, dass regulatorische Konsequenzen erheblich sind – 23andMe steht bereits wegen Geldstrafen anderer Behörden und betriebener Insolvenzverfahren unter Druck.

Ähnliche Artikel