23andMe hatte das massive Datenleck im Oktober 2023 offengelegt. Den Angaben zufolge blieben Credential-Stuffing-Angriffe von April 2023 bis September 2023 über fünf Monate hinweg unbemerkt. Während dieses Vorfalls stahlen die Täter Daten von 6,9 Millionen Kunden, darunter Informationen zu deren genetischer Abstammung. Ein Teil der Daten wurde später im Darknet zum Verkauf angeboten; zur Untermauerung der Echtheit veröffentlichten die Angreifer Millionen genetischer Profile.
Die New Yorker Generalstaatsanwältin Letitia James erklärte am Dienstag, die multistaatliche Untersuchung habe ergeben, dass dem Unternehmen grundlegende Schutzvorkehrungen gegen kennwortbasierte Angriffe fehlten. Neben fehlender Passwort-Sperrlisten und Multifaktor-Authentifizierung bemängelten die Ermittler unzureichende Ratenbegrenzung, mangelnde Angriffsprävention und fehlendes Monitoring zur Erkennung von Sicherheitsverletzungen.
Die Ermittler stellten zudem fest, dass 23andMe ungewöhnliche Anmeldeaktivitäten nicht bearbeitet und bekannte Schwachstellen nicht behoben habe. Laut James bestritt das Unternehmen zunächst, dass es überhaupt zu einer Sicherheitsverletzung gekommen sei, und machte später die Konten- und Passwortpraxis der Kunden für den Vorfall verantwortlich.
Der nun vereinbarte Vergleich schreibt bei TTAM neue Sicherheitsanforderungen vor. Dazu gehören ein Beirat für Datensicherheit, Protokolle zur Risikoanalyse sowie fortbestehende Verbraucherrechte auf Löschung ihrer Daten. James erklärte, Unternehmen hätten die Pflicht, persönliche Informationen ihrer Kunden vor Hackern zu schützen, 23andMe habe jedoch mit schwachen Sicherheitsmaßnahmen Millionen Kunden einem Risiko ausgesetzt. Weiter sagte sie, New Yorker hätten 23andMe ihre sensiblen genetischen Daten anvertraut und später feststellen müssen, dass diese gestohlen und in den dunklen Ecken des Internets zum Verkauf angeboten wurden.
Der Vorfall von 2023 hatte bereits mehrere Sammelklagen zur Folge. 23andMe änderte daraufhin im November 2023 seine Nutzungsbedingungen und erschwerte damit Klagen; damals erklärte das Unternehmen, die Änderungen dienten lediglich dazu, das Schiedsverfahren zu vereinfachen. Im September 2024 stimmte der kalifornische Anbieter von Gentests außerdem zu, 30 Millionen US-Dollar zur Beilegung einer vorgeschlagenen Sammelklage wegen des Datenlecks von 2023 zu zahlen.
Im März 2025 meldete 23andMe Insolvenz nach Chapter 11 an und kündigte nach mehreren Jahren finanzieller Schwierigkeiten den Verkauf seiner Vermögenswerte an. Das veranlasste James und die Koalition, damit zusammenhängende Ansprüche einzureichen. Im Juni 2025 verklagten James und 27 weitere Generalstaatsanwälte das Unternehmen, um die genetischen Daten der Kunden im Insolvenzverfahren zu schützen.
Im selben Monat verhängte das britische Information Commissioner’s Office gegen 23andMe eine Geldbuße von 2,31 Millionen Pfund beziehungsweise 3,12 Millionen US-Dollar. Die Behörde verwies auf „schwerwiegende Sicherheitsmängel“, die zu dem „zutiefst schädigenden“ Datenleck von 2023 geführt hätten. Vier Monate später, im Juli 2025, schloss das gemeinnützige TTAM Research Institute, inzwischen als 23andMe Research Institute neu registriert und von 23andMe-Mitgründerin Anne Wojcicki geführt, die Übernahme des DNA-Test-Unternehmens ab. Vereinbart worden war der Kauf sämtlicher Vermögenswerte für 305 Millionen US-Dollar.
