Kalifornien verklagt Ex-23andMe (Chrome Holding) wegen Datenlecks – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Kalifornien verklagt Ex-23andMe wegen Datenlecks

Der kalifornische Generalstaatsanwalt Rob Bonta verklagt den Gentest-Riesen 23andMe, jetzt bekannt als Chrome Holding Co., wegen des Datenlecks von 2023, bei dem sensible Gendaten von fast 7 Millionen Nutzern offengelegt wurden. Die Klage wirft unzureichende Sicherheitsmaßnahmen vor.

Das 23andMe-Logo vor dem Gebäude des kalifornischen Generalstaatsanwalts mit einem zerbrochenen Schildsymbol.

Was ist passiert

Für 23andMe hat sich die Lage gerade von schlecht zu katastrophal entwickelt. Nachdem das Unternehmen monatelang mit den Folgen eines massiven Datenlecks zu kämpfen hatte, sieht es sich nun dem Zorn des Staates Kalifornien ausgesetzt. Generalstaatsanwalt Rob Bonta kündigte eine umfassende Klage gegen die einst gefeierte Gentest-Firma an, die jetzt unter dem Namen Chrome Holding Co. firmiert. Der Grund? Das Unternehmen soll seine Pflicht zum Schutz der intimsten Informationen von Millionen von Menschen – ihrer DNA-Daten – vernachlässigt haben.

Dies ist nicht nur eine weitere Klage wegen Cybersicherheit. Das Thema ist der unveränderliche, fundamentale Baustein eines Menschen – sein genetischer Code. In einer Erklärung aus Bontas Büro wird betont, dass 23andMe es versäumt habe, „grundlegende Sicherheitsmaßnahmen“ gegen eine Art von Angriff zu ergreifen, die seit Jahren bekannt ist. Mit anderen Worten, dies war keine Überraschung; es war eine vorhersehbare Katastrophe, und das Unternehmen hat die Tür im Grunde weit offen gelassen. Die Klage behauptet, dass die Fahrlässigkeit des Unternehmens gegen den California Consumer Privacy Act (CCPA) und andere Gesetze verstoßen hat. Dies könnte mit mehr als nur einer Geldstrafe enden; es könnte einen Präzedenzfall schaffen, der die Datenverarbeitungspraktiken der gesamten Branche grundlegend verändert. Der Generalstaatsanwalt behauptet, das Unternehmen habe nicht nur schwache Sicherheitsvorkehrungen gehabt, sondern auch versucht, nach dem Leck die Schuld auf seine Nutzer abzuwälzen und sich der Verantwortung zu entziehen. Dieser Schritt ist ein klares Signal dafür, wie aggressiv die Bundesstaaten bei der Rechenschaftspflicht großer Technologie- und Datenunternehmen werden.

Kompromittierte Daten

Die Liste der gestohlenen Daten ist erschreckend. Dies ist weit mehr als ein Leck von E-Mails und Passwörtern. Die Angreifer erhielten Zugang zu einer Fundgrube der persönlichsten Daten der Nutzer. Was steht also auf der Liste?

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Vollständige Namen: Der erste Schritt zum Identitätsdiebstahl.
  • Geburtsjahr: Eine Schlüsselinformation für Social Engineering und Betrug.
  • Ergebnisse der genetischen Abstammung: Die ethnischen prozentualen Anteile der Nutzer. Diese Informationen können für Diskriminierung und Hassverbrechen missbraucht werden, insbesondere gegen bestimmte Gruppen.
  • Geografische Standortdaten: Informationen darüber, woher ihre Vorfahren stammten.
  • Profilfotos: Eine direkte Verletzung der Privatsphäre.
  • Potenzielle Gesundheitsinformationen: Gesundheitsdaten, die aus den Ergebnissen von Gentests auf Veranlagungen abgeleitet werden könnten.
  • Familienverbindungen: Durch die Funktion „DNA-Verwandte“ bedeutete der Datenleck einer Person die Offenlegung von Tausenden ihrer Verwandten.

Denken Sie daran, Sie können Ihr Passwort ändern. Sie können Ihre Kreditkarte sperren lassen. Sie können Ihre DNA nicht ändern. Sobald diese Daten nach außen dringen, sind sie für immer dort draußen. Die Tatsache, dass Angreifer gezielt Listen von Nutzern mit aschkenasisch-jüdischer und chinesischer Abstammung erstellten und diese in Dark-Web-Foren verkauften, zeigt, wie gefährlich dies werden kann. Es ist nichts weniger als digitales ethnisches Profiling. Wir sehen, welch immense Verantwortung das Unternehmen durch das Sammeln solch sensibler Daten übernommen und wie es versagt hat, dieser Verantwortung gerecht zu werden. Das Verfolgen der neuesten Datenleck Nachrichten macht noch deutlicher, wie verheerend die Folgen solcher Gendatenlecks sein können.

Wie der Angriff geschah

Im Zentrum der Verteidigung des Unternehmens steht ein Argument: „Unsere Systeme wurden nicht gehackt, die Nutzer sind schuld.“ Was bedeutet das also? Der Angriff wurde mit einer Methode namens „Credential Stuffing“ durchgeführt. Man kann es sich wie einen Dieb vorstellen, der Tausende alter Schlüssel hat und jeden einzelnen an allen Türen in einer Nachbarschaft ausprobiert.

So funktioniert es: Angreifer nehmen Milliarden von Benutzernamen- und Passwortkombinationen, die aus früheren Datenlecks auf anderen Plattformen (wie LinkedIn, MyFitnessPal usw.) stammen. Sie verwenden dann automatisierte Software, um diese Listen auf der Anmeldeseite von 23andMe auszuprobieren. Da viele Menschen dasselbe Passwort auf verschiedenen Plattformen wiederverwenden, sind einige dieser Versuche erfolgreich. Also ja, technisch gesehen ist kein Virus in die Server von 23andMe eingedrungen. Aber wie Generalstaatsanwalt Bonta betont, ist genau das das Problem. Warum hatte 23andMe keinen angemessenen Schutz gegen diese extrem häufige und vorhersehbare Art von Angriff? Warum hat es die Multi-Faktor-Authentifizierung (MFA) nicht für alle Benutzer verpflichtend gemacht? Das ist der Kern der Klage.

Schlimmer noch, die Angreifer hörten nicht auf, als sie in ein Konto gelangt waren. Die Funktion „DNA-Verwandte“ von 23andMe ermöglicht es den Nutzern, andere zu sehen, mit denen sie genetisch verbunden sind. Mit der geringen Anzahl von kompromittierten Konten sammelten die Angreifer die Daten von Millionen von verbundenen Nutzern über diese Funktion (Scraping). Das schwache Passwort einer Person führte also zum Diebstahl der Daten von Tausenden ihrer Verwandten. Dies zeigt, wie ein Fehler im Plattformdesign des Unternehmens einen massiven Schneeballeffekt auslösen kann.

Wer war betroffen

Die Zahlen sind gewaltig. Insgesamt waren die Daten von rund 6,9 Millionen Menschen von diesem Leck betroffen. Es ist wichtig, diese Zahl in zwei Gruppen aufzuteilen:

  1. Direkt Betroffene: Etwa 1,4 Millionen Nutzer. Dies sind die Personen, deren Konten direkt durch den Credential-Stuffing-Angriff kompromittiert wurden, wodurch die Angreifer Zugang zu ihren detailliertesten Informationen wie genetischen Gesundheitsberichten erhielten.
  2. Indirekt Betroffene: Etwa 5,5 Millionen Nutzer. Obwohl ihre Konten nicht direkt gehackt wurden, wurden ihre Profilinformationen (Name, Abstammung, Profilfoto usw.) über die Funktion „DNA-Verwandte“ gestohlen.

Das bedeutet, dass fast die gesamte Nutzerbasis des Unternehmens in irgendeiner Weise betroffen war. Einer der beunruhigendsten Aspekte des Angriffs war die gezielte Ansprache bestimmter ethnischer Gruppen. Im Dark Web wurden Datenlisten speziell für Nutzer „aschkenasisch-jüdischer“ und „chinesischer“ Abstammung zum Verkauf angeboten. Dies verdeutlicht auf düstere Weise, dass es bei Cyberkriminalität nicht mehr nur um finanziellen Gewinn geht; sie ist zu einem Werkzeug für Hass und Diskriminierung geworden.

Was Sie tun können

Wenn Sie ein 23andMe-Nutzer sind oder waren, gibt es einige Schritte, die Sie ohne Panik unternehmen sollten. Hier ist eine spezifische, nicht klischeehafte Liste für Sie:

  • Finden Sie heraus, ob Sie wirklich betroffen sind: Prüfen Sie, ob das Unternehmen Ihnen eine E-Mail geschickt hat. Seien Sie jedoch bei diesen E-Mails vorsichtig, da Phisher sie nachahmen könnten. Eine der zuverlässigsten Methoden ist die Überprüfung, ob Ihre E-Mail-Adresse in anderen Lecks aufgetaucht ist. Sie können dafür eine vertrauenswürdige Datenleck Suche verwenden. Dies gibt Ihnen auch eine Vorstellung von Ihrer allgemeinen digitalen Hygiene.
  • Ändern Sie Ihr Passwort sofort und machen Sie es einzigartig: Ändern Sie sofort Ihr 23andMe-Passwort. Noch wichtiger ist, dass dieses neue Passwort absolut einzigartig ist und nirgendwo anders verwendet wird. Ein Passwort-Manager ist hier ein Lebensretter.
  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA): Wie die Klage hervorhebt, hätte dies den Angriff größtenteils verhindern können. Gehen Sie in die Sicherheitseinstellungen Ihres 23andMe-Kontos und aktivieren Sie MFA (über eine App wie Google Authenticator oder Authy) sofort. Dies verhindert den Zugriff auf Ihr Konto, selbst wenn Ihr Passwort gestohlen wird.
  • Überprüfen Sie die Einstellungen für „DNA-Verwandte“: Wir haben gesehen, welch großes Risiko diese Funktion darstellte. Gehen Sie zu Ihren Einstellungen und überprüfen Sie Ihre Teilnahme an dieser Funktion. Sie können einschränken, wie viele Ihrer Daten für andere Nutzer sichtbar sind, oder sich ganz abmelden. Ihre Privatsphäre könnte wichtiger sein als die Suche nach einem entfernten Verwandten, von dem Sie nie wussten, dass Sie ihn haben.

Was das Unternehmen sagt

Die Haltung von 23andMe seit Beginn dieser Krise ist höchst umstritten. Das Unternehmen hat wiederholt argumentiert, dass seine eigenen Sicherheitssysteme nicht durchbrochen wurden und das Problem ausschließlich auf die Verwendung schwacher und wiederverwendeter Passwörter durch die Nutzer zurückzuführen sei. Ein Sprecher machte Aussagen wie: „Wir erinnern die Nutzer regelmäßig daran, Passwörter nicht wiederzuverwenden und starke Sicherheitsvorkehrungen zu treffen.“ Obwohl dies technisch korrekt ist, wurde es von der Öffentlichkeit weithin als „Schuldzuweisung an den Kunden“ wahrgenommen und rief erhebliche Gegenreaktionen hervor.

Die Klage des kalifornischen Generalstaatsanwalts zielt genau auf diese Verteidigung ab. Das rechtliche Argument lautet, dass ein Unternehmen, das die sensibelsten Daten von Millionen von Menschen besitzt, die Pflicht hat, vorauszusehen, dass Nutzer Fehler machen, und Systeme (wie obligatorische MFA) implementieren muss, um sie vor diesen Fehlern zu schützen. Einfach zu sagen „wir haben sie gewarnt“ reicht nicht aus. Die kürzliche Namensänderung des Unternehmens in Chrome Holding Co. ist ebenfalls aufschlussreich. Obwohl Teil einer Unternehmensumstrukturierung, interpretieren viele diesen Schritt als Versuch, das Image aufzufrischen und sich von dem beschädigten Namen 23andMe zu distanzieren. Aber eine Namensänderung löscht die Verantwortung nicht aus. Es scheint, dass diese Klage, ob gegen den alten oder den neuen Namen, nicht so schnell verschwinden wird.

Quelle

https://databreaches.net/2026/05/29/california-ag-bonta-sues-chrome-holding-co-formerly-known-as-23andme-over-2023-data-breach/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Microsoft Defender wird gehackte Geräte automatisch isolieren Nächster Beitrag → Charter Datenleck betrifft Millionen von Kunden

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.