Bij de aanval op 23andMe vorig jaar zijn gezondheidsrapporten en dna-gegevens van gebruikers gestolen, zo heeft het Amerikaanse dna-testbedrijf in een datalekmelding aan getroffen gebruikers laten weten (pdf). De aanval vond plaats van mei tot en met september vorig jaar. 23andMe ontdekte dit pas nadat de gegevens van getroffen gebruikers op internet te koop werden aangeboden.

Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf heeft wereldwijd miljoenen gebruikers, waaronder in Nederland.

23andMe biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.

Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Nadat de aanvallers toegang tot de veertienduizend accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n veertien miljoen gebruikers.

Datalekmelding

In de datalekmelding aan gebruikers stelt 23andMe dat de credential stuffing-aanval plaatsvond van vorig jaar mei tot en met september. Daarbij zijn onder andere gezondheidsrapporten over gebruikers gestolen, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' buitgemaakt. Daarnaast kan het ook gaan om woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.

Naar aanleiding van het datalek zegt 23andMe bepaalde functionaliteit op het platform te hebben uitgeschakeld. Tevens zijn er andere websites gevonden waar bepaalde gestolen 'DNA Relatives' profielen op zijn geplaatst. 23andMe probeert deze profielen van deze websites verwijderd te krijgen. Het dna-testbedrijf is inmiddels onderwerp van tientallen massaclaims in de Verenigde Staten.