Een aanvaller die begin deze maand de gegevens van miljoenen gebruikers van dna-testbedrijf 23andMe lekte heeft opnieuw gebruikersdata gepubliceerd. Dit keer zou het om een dataset gaan met genetische informatie van vier miljoen mensen afkomstig uit Groot-Brittannië, aldus de aankondiging. In een verklaring tegenover TechCrunch laat 23andMe weten dat het onderzoekt of de aangeboden data inderdaad bij het bedrijf is buitgemaakt.

TechCrunch stelt dat het een deel van de nieuw gelekte data kon matchen met openbare informatie van 23andMe-gebruikers. Bij de eerste dataset die online verscheen stelde 23andMe dat de gegevens door middel van credential stuffing waren gestolen. Aanvallers konden met wachtwoorden die bij andere websites waren gestolen op de accounts van een onbekend aantal 23andMe-gebruikers inloggen.

Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.