Kundendaten von Genom-Analyseanbieter 23andMe im Netz aufgetaucht

[English]Beim Anbieter 23andMe (erstellt Analysen des menschlichen Genoms) hat es einen Cybervorfall gegeben, bei dem Millionen Kundendaten erbeutet wurden. Erst hat der Anbieter alles abgestritten. Vor einigen Tagen wurden eine Million Datensätze von aschkenasischen Juden in einem Untergrundforum veröffentlicht. Jetzt wurden weitere erbeutete Daten von 4,1 Millionen Kunden aus Deutschland und Großbritannien veröffentlicht.

Wer ist 23andMe?

23andMe ist ein US-amerikanisches Unternehmen im Bereich der Biotechnologie, welches 2006 in den USA gegründet wurde. Der Name des Unternehmens leitet sich von den 23 Chromosomenpaaren eines Menschen ab. Das Unternehmen bietet seit Dezember 2007 Privatpersonen eine Untersuchung ihrer genetischen Informationen an.

Das Angebot richtete sich zunächst nur an Kunden aus den USA, wurde jedoch mit der Zeit auf zahlreiche andere Länder ausgeweitet. Es ist unter anderem in Deutschland, Österreich und der Schweiz verfügbar. Der Preis für eine solche Analyse wurden in mehreren Stufen von anfangs $999 auf $99 zuzüglich Versandkosten gesenkt (Stand Januar 2019).

Die eingesendete Speichelprobe wird auf etwa 200 genetisch bedingte Krankheiten und 99 weitere Veranlagungen untersucht. Auch Angaben zur geografischen Herkunft werden geliefert. Untersucht werden über 960.000 Abschnitte des menschlichen Erbguts, die Einzelnukleotid-Polymorphismen ausweisen und die persönlichen Merkmale ausmachen. Laut Wikipedia analysierte das Unternehmen bis Februar 2018 Gene von über drei Millionen Kunden.

Das Angebot wird auch für Leute beworben, die Ahnenforschung betreiben und gerne etwas über ihre Vorfahren erfahren wollen. Ein genetischer Abgleich kann die Abstammung von bzw. die Verwandtschaft mit anderen Menschen aufzeigen. Hier im Blog hatte ich im Beitrag 60% der Amerikaner mit europäischer Abstammung über öffentliche DNA-Datenbanken identifizierbar die sich daraus ergebenden Implikationen aufgezeigt.

Das erste 23andMe-Leak

Anfang Oktober 2023 gab es erste Berichte von Bleeping Computer (und z.B. Golem), dass Hacker die Daten von einer Millionen Menschen aus der Gruppe der Aschkenasim (mittel-, nord- und osteuropäische Juden und ihre Nachfahren) seit Oktober 2023 in einem Untergrundforum anboten werden.  Das Unternehmen 23andMe bestätigte gegenüber BleepingComputer, dass es informiert sei, dass Nutzerdaten in Hackerforen kursieren. Es heißt in einer Stellungnahme vom 9. Oktober 2023, dass das Leck auf einen Credential-stuffing-Angriff mit gefälschten Zugangsdaten zurückzuführen sei (die Angreifer haben also Zugangsdaten ausprobiert, bis sie den Zugang zu den Systemen geknackt hatten).

In der Stellungnahme vom 9. Oktober 2023 heißt es noch ganz harmlos, das man vor vor kurzem erfahren habe, dass bestimmte Profilinformationen von 23andMe-Kunden, die sich für die Freigabe durch die Funktion DNA-Verwandte entschieden haben, von "einzelnen 23andMe.com-Konten" unberechtigt abgezogen wurden.

23andMe-Daten im Darknet; Quelle: Bleeping Computer

Bleeping Computer hatte obigen Screenshot aus dem Untergrundforum mit dem Angebot der Hacker veröffentlicht. Ursprünglich gab der Hacker nur die 1 Million Daten von Aschkenasim-Personen als Probe im Untergrundforum frei. Zum 4. Oktober 2023 bot der Hacker jedoch Datenprofile in großen Mengen für 1 bis 10 US-Dollar an.

Bei 32andMe las sich das so: Nachdem wir von verdächtigen Aktivitäten erfahren hatten, haben wir sofort eine Untersuchung eingeleitet.  Während wir diese Angelegenheit weiter untersuchen, glauben wir, dass Bedrohungsakteure in der Lage waren, auf bestimmte Konten zuzugreifen, in denen Benutzer ihre Anmeldedaten wiederverwendet haben – d. h. die Benutzernamen und Passwörter, die auf 23andMe.com verwendet wurden, waren die gleichen wie die, die auf anderen Websites verwendet wurden, die zuvor gehackt wurden." Der letzte Satz beschreibt ein sogenanntes Credential stuffing, bei dem bekannte Zugangsdaten ausprobiert werden, um Online-Konten zu hacken.

Der Anbieter hat dann externe forensische Experten mit der Untersuchung beauftragt und die Strafverfolgungsbehörden informiert. Zudem empfahl man Kunden, Passwörter zurückzusetzen, und auf die Verwendung der Multi-Faktor-Authentifizierung (MFA) umzusteigen. Das Unternehmen geht davon aus, dass in den abgezogenen Daten auch Informationen über die DNA-Verwandtenprofile der Benutzer, sofern diese sich für diesen Dienst entschieden haben, enthalten sind.

Zum 20. Oktober 2023 teilte das Unternehmen dann mit, dass man im Rahmen der laufenden Sicherheitsuntersuchung als zusätzliche Vorsichtsmaßnahme zum Schutz der Privatsphäre unserer Kunden einige Funktionen des DNA-Verwandtschaftsabgleichs vorübergehend deaktiviert habe.

Neues Datenleck

Hintergrund des letzten Schritts sind wohl der Berichte von Bleeping Computer, dass der Hacker mit dem Alias Golem weitere 4,1 Millionen gestohlene genetische Datenprofile von von 23andMe über Deutsche und britische Kunden in einem Hackerforum veröffentlicht hat.

Der Hacker behauptet, dass die gestohlenen 4 Millionen Daten genetische Informationen über die britische Königsfamilie, die Rothschilds und die Rockefellers enthalten. Derselbe Hacker veröffentlichte eine weitere CSV-Datei mit den 23andMe-Daten von 139.172 in Deutschland lebenden Personen. TechCrunch berichtete, dass einige der Daten aus Großbritannien als übereinstimmend mit bekannten und öffentlichen Nutzer- und genetischen Informationen verifiziert wurden.

TechCrunch schreibt zudem, dass einige der durchgesickerten 23andMe-Daten im August 2023 auf dem inzwischen stillgelegten Hydra-Hacking-Forum verkauft wurden, wo der Bedrohungsakteur behauptete, 300 Terabyte an Daten gestohlen zu haben. Das dürfte sich zu einem riesigen Datenskandal ausweiten, der das Ende von 23andMe bedeuten könnte.

Auf BlueSky bin ich auf obige Meldung gestoßen. Die Electronic Frontier Foundation hat diesen Artikel mit Hinweisen, was man tun sollte, wenn man glaubt, vom 23andMe-Hack betroffen zu sein.