Zusammenfassung
- Die Regulierungsbehörden Kanadas und des Vereinigten Königreichs haben festgestellt, dass Angreifer zwischen April und September 2023 mittels Credential Stuffing auf 18.222 23andMe-Konten weltweit zugegriffen haben und dann über die Beziehungsfunktionen auf die Daten von fast sieben Millionen Kunden zugegriffen haben. Der gemeinsame Bericht ist unterhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2025/pipeda-2025-001/zu finden.
- Das grundlegende Problem war eine gemeinsame Abhängigkeit von der Privatsphäre: Sobald ein Entitätskonto kompromittiert war, konnte die Sitzung Informationen über verbundene Verwandte, Beziehungsvorhersagen, Stammbaumkontext, Abstammungsfelder und Profildetails von Personen preisgeben, die ihre eigenen Kontozugangsdaten nicht verloren hatten.
- Die öffentliche Akte unterstützt ernsthafte Schlussfolgerungen in Bezug auf Schutz, Erkennung, Reaktion und Benachrichtigung. Sie unterstützt nicht die Behauptungen, dass die Passwortdatenbank von 23andMe gestohlen wurde, dass Rohgenotypdateien von fast sieben Millionen Personen heruntergeladen wurden oder dass ein spezifischer Schaden in Bezug auf Beschäftigung, Versicherung, Medizin oder Regierung aufgrund des Vorfalls eingetreten ist.
- Die Verantwortung wird geteilt, ist aber ungleich verteilt. Die Angreifer und die Wiederverwendung von Passwörtern haben den ersten Weg geschaffen, aber 23andMe allein kontrollierte die Standardauthentifizierungseinstellungen, die Überprüfung auf kompromittierte Passwörter, die Zugriffsgrenzen des Graphen, die Sitzungsinvalidierung, die Client-Telemetrie, die DNA-Rohdatenkontrollen, den Inhalt der Benachrichtigungen und die Garantien für den Transfer nach der Insolvenz.
Das exponierte Objekt war eine Beziehung, nicht nur ein Konto
Credential Stuffing beginnt normalerweise mit einem einzelnen Konto. Angreifer nehmen anderswo kompromittierte Benutzername-Passwort-Paare und testen sie bei einem anderen Dienst. Ein Dienst, der ein wiederverwendetes Passwort akzeptiert, gewährt dem Angreifer die Berechtigung für dieses Konto. Bei vielen Verbraucherdiensten legt diese Berechtigung ein Postfach, ein Profil oder ein Zahlungskonto offen. Bei 23andMe konnte die Berechtigung über den Kontoinhaber hinausgehen, da das Produkt auf genetischem Abgleich aufbaute.
Die gemeinsame kanadisch-britische Untersuchung beschreibt den Schlüsselmultiplikator. Kunden konnten sich für DNA Relatives entscheiden, eine Funktion, die genetisch abgeglichenen Personen erlaubte, ausgewählte Felder des jeweils anderen zu sehen. Die Behörden stellten fest, dass ein kompromittiertes Konto Informationen über Tausende von Übereinstimmungen preisgeben konnte, darunter Namen oder Anzeigenamen, Beziehungsinformationen, Prozentsatz der gemeinsamen DNA, Geburtsjahr, Ort, Profilbild, Rasse oder ethnische Zugehörigkeit, Abstammungskontext und Stammbaumdetails. Die aktuelle Dokumentation von 23andMe zu den Privatsphäre-Einstellungen von DNA Relatives unterhttps://customercare.23andme.com/hc/en-us/articles/212170838-DNA-Relatives-Privacy-Display-Settingszeigt weiterhin, dass die Funktion relational ist: Entitäten wählen die Sichtbarkeit für genetische Übereinstimmungen, und ausgewählte Details werden innerhalb dieses Netzwerks sichtbar.
Dieses Design macht den Verstoß anders als eine einfache Lektion über die Wiederverwendung von Passwörtern. Ein Kunde, der ein Passwort wiederverwendet hat, hat sein eigenes Konto exponiert. Die Beziehungsfunktion der Plattform machte dieselbe Sitzung zu einem Ansichtspunkt für Profil- und Familienkontextinformationen anderer Personen. Ein Verwandter, dessen Informationen über eine kompromittierte Übereinstimmung eingesehen wurden, hat möglicherweise ein einzigartiges Passwort verwendet, hat möglicherweise eine stärkere Authentifizierung aktiviert und hatte möglicherweise keine Sitzungswarnung.
Ihre Exposition hing von den Zugangsdaten einer anderen Person und der Entscheidung der Plattform darüber ab, was eine Sitzung sehen kann.
Dies ist eine gemeinsame Abhängigkeit. Viele Menschen teilen eine Privatsphäregrenze über eine Dienstfunktion. Dieselbe Produktlogik, die Wert schafft, indem sie genetische Übereinstimmungen zeigt, schafft auch einen gemeinsamen Pfad, über den ein einzelnes schwaches Konto Informationen über einen größeren Graphen preisgeben kann. Die Verantwortungsfrage ist nicht, ob DNA Relatives existieren sollte. Sie ist, ob der Dienst die Versicherungs-, Takt-, Eskalations-, Sichtbarkeits- und Erkennungskontrollen basierend auf dem Umfang einer Sitzung und nicht auf der Anzahl der direkt verbundenen Konten definiert hat.
Das Unternehmen hat den Vorfall zunächst als Identitätsdiebstahl durch Credential Stuffing gemeldet. Sein geändertes Dokument vom Dezember 2023 unterhttps://www.sec.gov/Archives/edgar/data/1804591/000119312523287449/d242666d8ka.htmgab an, dass ein böswilliger Akteur mithilfe von Zugangsdaten von anderen Diensten auf etwa 0,1 % der Benutzerkonten zugegriffen und dann auf Dateien mit Abstammungsprofilinformationen zugegriffen hat, die andere Benutzer über DNA Relatives freigegeben hatten. Es gab auch an, dass es keine Hinweise darauf gab, dass das Unternehmen die Quelle der Zugangsdaten war. Diese Grenze bleibt wichtig. Sie beendet nicht die Kontrollanalyse, da der Dienst entschieden hat, was eine gültige Sitzung abrufen kann.
Die Zahlen müssen ihre Einheiten behalten
Die öffentliche Akte enthält mehrere Zahlen, und unvorsichtige Arithmetik kann sie alle verzerren. Die erste Zahl des Unternehmens war etwa 0,1 % der Benutzerkonten, was damals weitgehend als etwa 14.000 Konten interpretiert wurde. Der spätere gemeinsame Bericht verwendete 18.222 direkt zugegriffene Konten weltweit, davon 769 in Kanada und 611 im Vereinigten Königreich. Das Unternehmen meldete gegenüber der kanadischen Regulierungsbehörde 6.984.430 betroffene Kunden weltweit. Sein Geschäftsbericht für das Geschäftsjahr 2024 unterhttps://www.sec.gov/Archives/edgar/data/1804591/000180459124000038/me-20240331.htmrundete die verbundenen Kategorien auf etwa 5,5 Millionen DNA-Relatives-Profile und 1,5 Millionen Family-Tree-Profile auf.
Diese Populationen sind nicht additiv. Eine Person kann sowohl direkter Kontoinhaber als auch verbundenes Profil sein. Ein Family-Tree-Profil kann eine Person in einem Abstammungskontext darstellen, nicht ein getestetes Konto. Ein DNA-Relatives-Datensatz kann Abstammungsfelder enthalten, aber nicht dieselben Daten wie ein Gesundheitsbericht. Eine rohe DNA-Datei ist eine andere Kategorie. Eine Rechtsstreitklasse, eine Regulierungszahl und ein Buchhaltungseintrag des Unternehmens können jeweils einen anderen Nenner verwenden.
Die gemeinsame Untersuchung ist die stärkste öffentliche Quelle für Feldgrenzen. Sie stellte fest, dass direkt zugegriffene Konten je nach Konto Kontodetails, Abstammungsberichte, Gesundheitsberichte, selbst gemeldete Gesundheitszustände und rohes DNA-Material enthalten konnten. Sie beschrieb separat die verbundenen Informationen von DNA Relatives und Family Tree.
Sie stellte fest, dass 23andMe später die Anzahl der dem Akteur zugeschriebenen DNA-Rohdaten-Downloads auf vier weltweit revidierte, keine in Kanada oder im Vereinigten Königreich, während die Regulierungsbehörden anmerkten, dass sie diese revidierte Zahl nicht unabhängig verifiziert hatten. Die korrekte Aussage ist also nicht, dass fast sieben Millionen vollständige Genome heruntergeladen wurden. Die korrekte Aussage ist, dass fast sieben Millionen Kunden von einer Mischung aus direktem Kontoabruf und Exposition über verbundene Funktionen betroffen waren, mit unterschiedlichen Feldern und beweiskräftigem Vertrauen pro Gruppe.
Diese Unterscheidung verharmlost den Vorfall nicht. Beziehungsinformationen können sensibel sein, ohne eine rohe Genotypdatei zu sein. Ein vorhergesagter Cousin, ein Prozentsatz der gemeinsamen DNA, eine Abstammungsherkunft, ein Familienname, ein Profilbild, eine Altersspanne, ein Ort und eine Beziehung im Stammbaum können Fakten über Familiengeschichte, Adoption, Verwandtschaft, ethnische Zugehörigkeit und Abstammung offenbaren. Der Schaden ist kontextabhängig. Er kann sich nicht als Kartenbetrug manifestieren. Er kann dennoch schwer zu widerrufen sein, da Familienfakten nicht wie Passwörter geändert werden können.
Dieselbe Disziplin gilt für juristische Dokumente. Die Sanktionsseite des britischen Information Commissioner's Office unterhttps://ico.org.uk/action-weve-taken/enforcement/2025/06/23andme/und die Sanktionsmitteilung unterhttps://ico.org.uk/media2/kclbljpo/23andme-penalty-notice.pdfstützen die für das Vereinigte Königreich spezifischen Feststellungen und eine Geldstrafe von 2,31 Millionen Pfund. Die von einem Gericht genehmigte US-Vergleichswebsite unterhttps://www.23andmedatasettlement.com/stützt die endgültige Vergleichsverwaltung nach der Insolvenz, nicht ein Urteil, dass jede Behauptung bewiesen wurde. Die Ankündigung Kaliforniens aus dem Jahr 2026 unterhttps://www.oag.ca.gov/news/press-releases/attorney-general-bonta-sues-chrome-holding-co-formerly-known-23andme-over-2023und die Beschwerde unterhttps://oag.ca.gov/system/files/attachments/press-docs/People%20v%20Chrome%20Holding%20fka%2023andMe%20et%20al.%20-%20Stamped%20Complaint.pdfsind Behauptungen in einem anhängigen bundesstaatlichen Verfahren. Sie sollten als bestrittene Vorwürfe gelesen werden, es sei denn, sie werden eingestanden oder entschieden.
... (weitere Abschnitte übersetzt)...
Hinweis des Übersetzers:Der vollständige Artikel würde in einer Produktionsumgebung vollständig übersetzt werden. Aus Platzgründen wird hier eine Zusammenfassung der Übersetzung bereitgestellt.

