Wie das Büro der New Yorker Generalstaatsanwältin Letitia James mitteilte, hatten die 42 Generalstaatsanwälte wenige Tage nach Bekanntwerden des Vorfalls eine länderübergreifende Untersuchung eingeleitet. Dabei identifizierten sie mehrere Versäumnisse bei 23andMe. Nach Darstellung der Behörde fehlten Schutzmechanismen gegen Angriffe mit gestohlenen Zugangsdaten, die Maßnahmen zur Verhinderung von Eindringversuchen seien unzureichend gewesen, und das Unternehmen habe weder ausreichende Protokollierung noch Überwachung zur Erkennung von Sicherheitsverletzungen betrieben. Zudem seien bekannte Schwachstellen nicht behoben worden.
Nach Angaben des Büros von Letitia James untersuchte 23andMe außerdem keine atypischen Anmeldemuster und testete neue Designfunktionen nicht. In einer Mitteilung der Behörde heißt es, das Unternehmen habe zunächst bestritten, dass überhaupt eine Datenpanne stattgefunden habe. Nachdem der Vorfall bestätigt worden sei, habe 23andMe die Verantwortung den Kunden zugeschoben und auf deren Kontokonfigurationen sowie den Umgang mit Passwörtern verwiesen.
Die jetzt erzielte Einigung umfasst nicht nur die Zahlung von 18 Millionen Dollar. Das 23andMe Research Institute muss zusätzliche Schutzmaßnahmen umsetzen. Dazu gehören Risikoanalysen sowie die Einsetzung eines besonderen Gremiums zur Aufsicht über die Datensicherheit. Außerdem schreibt der Vergleich vor, dass 23andMe-Kunden dauerhaft das Recht behalten, ihre genetischen Proben vernichten und ihre personenbezogenen Daten löschen zu lassen.
Das 23andMe Research Institute war im Mai 2025 von Anne Wojcicki gegründet worden. Die gemeinnützige Organisation übernahm die Vermögenswerte von 23andMe, darunter auch genetische Daten. Im Juli 2025 zahlte das damals noch als TTAM Research Institute bezeichnete Institut laut dem Text 305 Millionen Dollar für diese Vermögenswerte. Die Übernahme umfasste genetische Daten von Kunden, die nicht verlangt hatten, dass ihre Informationen vernichtet werden, wie es in einer 23andMe-Mitteilung aus dem Jahr 2023 hieß.
Das Institut hat zugesagt, die Datenschutzrichtlinie von 23andMe einzuhalten. Diese untersagt die Weitergabe von Daten an Arbeitgeber, Versicherer, öffentliche Datenbanken und Strafverfolgungsbehörden, sofern kein Gerichtsbeschluss, keine Vorladung oder kein Durchsuchungsbefehl vorliegt. Zugleich setzt das Institut die Praxis von 23andMe fort, de-identifizierte Kundendaten für die biomedizinische Forschung weiterzugeben und zu verkaufen.
23andMe hatte im März 2025 Gläubigerschutz beantragt. Bereits im Juni genehmigte ein Konkursgericht in Missouri eine Einigung, nach der Millionen Betroffene der Datenpanne Anteile an einem Fonds von 47 Millionen Dollar erhalten sollen.
