Das US-amerikanische Genanalyse-Start-up 23andMe hat sich bereit erklärt, 30 Millionen US-Dollar Schadensersatz an betroffene Kunden zu zahlen, um eine Sammelklage beizulegen[1]. Der Vergleich folgt auf eine massive Datenpanne im Jahr 2023, bei der Kriminelle Zugriff auf die Daten von über 6,9 Millionen Nutzern erlangten[1].
Details des Vorfalls
Die Hacker hatten es offenbar gezielt auf die genetischen Informationen von aschkenasisch-jüdischen und chinesischen Nutzern abgesehen[1]. Neben den direkten Kundeninformationen wurden auch Daten möglicher Verwandter erbeutet, die über die Plattformfunktion „DNA Relatives“ mit den Profilen verknüpft waren[1].
Entschädigung und Sicherheitsmaßnahmen
Neben dem finanziellen Ausgleich sollen die Geschädigten voraussichtlich drei Jahre lang Zugang zu einem Sicherheitsüberwachungsprogramm erhalten[1]. Die Entschädigungssumme von 30 Millionen Dollar kann das Unternehmen nur stemmen, weil erwartet wird, dass 25 Millionen von einer Versicherung abgedeckt werden[1].
Chronologie und Ausmaß
23andMe gab das Datenleck zunächst im Oktober 2023 bekannt, wobei das volle Ausmaß erst im Dezember desselben Jahres deutlich wurde[1]. Anfänglich sprach das Unternehmen nur von einem möglichen Zugriff auf einige Gen-Datensätze und Gesundheitsdaten[1].
Methode der Hacker
Die Angreifer nutzten nicht nur die Methode des „Credential Stuffing“, bei der gestohlene Login-Daten auf verschiedenen Plattformen ausprobiert werden[1]. Sie erbeuteten und verkauften auch Geninformationen möglicher Verwandter der Opfer[1].
Internationale Untersuchungen
Neben der Sammelklage in den USA wollen auch Behörden in Großbritannien und Kanada das Datenleck untersuchen[1]. Im Darknet wurden die gestohlenen Daten in drei verschiedenen Paketen angeboten, darunter spezifische Sammlungen mit genetischen Informationen von aschkenasisch-jüdischen und chinesischen Nutzern[1].
Dieser Vorfall unterstreicht die wachsenden Sicherheitsrisiken im Bereich der digitalen Gesundheitsdaten und wirft Fragen zur Verantwortung von Unternehmen im Umgang mit sensiblen genetischen Informationen auf.
Quelle:
[1] 23andme: Gehacktes Genanalyse-Start-up muss 30 Millionen Schadensersatz zahlen https://www.heise.de/news/23andme-Gehacktes-Genanalyse-Start-up-muss-30-Millionen-Schadensersatz-zahlen-9873350.html
Entdecke mehr von LabNews
Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.
