Dna-testbedrijf 23andMe is in de Verenigde Staten door gebruikers aangeklaagd wegens een gevoelig datalek waarbij hun persoonlijke gegevens werden gestolen. Meerdere personen zijn inmiddels een massaclaim tegen het bedrijf gestart. Begin deze maand werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.

Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.

Door middel van een credential stuffing-aanval konden de gegevens van gebruikers worden gestolen. Bij credential stuffing proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze namelijk, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen.

Volgens de personen die de rechtszaken zijn gestart heeft 23andMe geen gepaste maatregelen genomen om de gegevens van gebruikers te beschermen. Daarnaast heeft het bedrijf niet bekendgemaakt wanneer het datalek zich precies voordeed en over welke periode zich het heeft voorgedaan. Ook is niet bekendgemaakt hoeveel gebruikers zijn getroffen en wat voor maatregelen die zouden moeten nemen om zich te beschermen. Daardoor zouden gebruikers risico op identiteitsdiefstal lopen, aldus de klagers, die een schadevergoeding eisen.