Wie sich bald herausstellte, hatten die Angreifer zunächst Daten von Nutzern abgegriffen, die sich für die Funktion „DNA Relatives" der Plattform entschieden hatten. Anschließend verschafften sie sich Zugriff auf einen zweiten, weit größeren Bestand an Konten, die diese Funktion nicht nutzten.

Insgesamt waren die Daten von rund 6,9 Millionen Kunden betroffen, darunter genetische Daten, Informationen zu gesundheitlichen Veranlagungen, Angaben zu Abstammung und ethnischer Herkunft sowie zu biologischen Verwandten und DNA-Übereinstimmungen.

Bereits zum Jahresende 2023 sah sich das Unternehmen mehreren Klagen gegenüber. Anfang 2024 leiteten nationale Datenschutzbehörden Untersuchungen ein, die schließlich in Bußgeldern in Millionenhöhe mündeten und das Unternehmen zur Insolvenzanmeldung veranlassten.

Die nun von Generalstaatsanwalt Bonta eingereichte Klage wirft 23andMe vor, keine angemessenen Schutzmaßnahmen gegen Credential-Stuffing-Angriffe getroffen, mehrere Gelegenheiten zur Erkennung des Eindringens verpasst und einen Programmierfehler in der Funktion „DNA Relatives" nicht entdeckt zu haben, der das großflächige Datenleck erst ermöglichte.

Neben den Versäumnissen beim Datenschutz hebt Bonta auch die irreführenden öffentlichen Aussagen des Unternehmens hervor. So habe die Firma vor dem Vorfall behauptet, ihre Sicherheit genüge hohen Standards. Nach dem Datenleck habe sie versucht, dessen Schwere herunterzuspielen, indem sie die offengelegten Daten als weitgehend öffentlich darstellte und Kunden für die Wiederverwendung von Passwörtern verantwortlich machte – mit der Aussage, ihre Systeme seien nicht kompromittiert worden.

Insgesamt argumentiert der Generalstaatsanwalt, diese Handlungen verstießen gegen mehrere bundesstaatliche Gesetze, darunter den California Genetic Information Privacy Act, das California Reasonable Data Security Law, den California Consumer Privacy Act (CCPA), das False Advertising Law sowie das Unfair Competition Law.

Die Klage zielt auf eine Unterlassungsverfügung gegen weitere Verstöße ab und fordert gesetzliche Strafen von 1.000 bis 7.500 US-Dollar je Verstoß, je nach Fall. Die Mitteilung des Generalstaatsanwalts weist darauf hin, dass der insolvenzrechtliche Streit über den geplanten Verkauf der genetischen Daten und biologischen Materialien von Einwohnern Kaliforniens ein gesondertes Verfahren ist.