Dna-testbedrijf 23andMe schikt gevoelig datalek voor 30 miljoen dollar
Dna-testbedrijf 23andMe wil een gevoelig datalek, waarbij de afstammingsgegevens van 6,9 miljoen gebruikers werden gestolen, voor 30 miljoen dollar schikken. De cyberverzekering van het bedrijf zou 25 miljoen dollar van dit bedrag moeten dekken. Getroffen gebruikers krijgen een vergoeding en kunnen drie jaar kosteloos aan een monitoringsprogramma deelnemen. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken.
23andMe heeft wereldwijd miljoenen gebruikers, waaronder in Nederland. Het bedrijf biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n veertien miljoen gebruikers. Tevens werden ook gezondheidsrapporten over gebruikers buitgemaakt, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' in handen kregen, alsmede woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.
Na het datalek werd in de VS een massaclaim tegen 23andMe aangespannen. Volgens de klagers had het bedrijf hun gegevens niet goed beschermd. Ook zouden gebruikers niet goed zijn geïnformeerd over het datalek. De dertig miljoen dollar waarmee 23andMe wil schikken zal worden gebruikt om slachtoffers te compenseren. Verder kunnen getroffen gebruikers zich kosteloos aanmelden voor een programma genaamd 'Privacy & Medical Shield + Genetic Monitoring'. In het voorlopige schikkingsvoorstel, dat nog door de rechter moet worden goedgekeurd, vraagt 23andMe om rekening te houden met de slechte financiële situatie van het bedrijf, zo melden Reuters en The Verge.
Het overigens ook een schande dat familieleden hun DNA afstaan en zo ook andere familie leden ongevraagt daar in meesleuren omdat zij zulke bedrijven geloven.
Daarnaast zijn dan opsporingsdiensten zo blij met deze gegevens omdat zijn zelf geen wattenstokje hoeven te gebruiken om bij een potentiele verdachte DNA af te geven. Dat heeft immers al een familielid gedaan.
Ik zal niet de enige zijn die dat zegt.
[s]En 'Poef!' , daarmee zijn je gelekte dna-gegevens opeens niet meer gelekt !¿[/s]
Schikken is niet straffen (is alleen maar een gedeelte van de gemaakte winst afstaan) noch word daarmee het lek niet teruggedraaid (wat onmogelijk is). Het kwaad is al geschied, "wen d'r maar aan" !
Hackertjes zullen wel weer flink mensen gaan lastig vallen met de buit ,al die info over omgevingsfactoren, en advertenties laten plaatsen voor 'medische' producten, Parallel daaraan het inhaken van overheids(gesubsidieerde)instellingen met vergelijkbaar geklier zodat je aan de advertentie niet kunt zien waar het vandaan komt.
Gaat niet zo goed met het bedrijf, ze verzoeken zelfs of de boete iets lager mag. Het lijkt eerder een advertentie voor geïnteresseerden om een bod te doen op de bijna failliete boedel.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
