Die Benachrichtigung und Offenlegung von Verstößen
23andMe reichte eine Meldung bei der kalifornischen Generalstaatsanwaltschaft ein und bestätigte, dass das Unternehmen von Ende April bis September 2023 gehackt wurde. Das Unternehmen gab den Verstoß zunächst in einem Blogbeitrag am 6. Oktober offen, in dem es erwähnte, dass ein „Bedrohungsakteur“ Zugriff auf „bestimmte Konten“ mithilfe von „recycelten Anmeldeinformationen“ von kompromittierten externen Websites erhalten. Das volle Ausmaß des Verstoßes, einschließlich der Offenlegung persönlicher genetischer Informationen der Benutzer, wurde jedoch erst in einem aktualisierten Blogbeitrag am 5. Dezember nach einer internen Überprüfung durch externe Forensikexperten offengelegt.
Auswirkungen und Bedeutung des Rechtsstreits
Laut Jay Edelson, einem der Anwälte, die die Kläger vertreten, bedeutet die Klage eine Änderung im Verbraucherdatenschutzrecht. Er glaubt, dass die Verletzung der Datensicherheit inzwischen so weit eskaliert ist, dass die erste Sorge darin besteht, ob solche Informationen für körperliche Belästigung oder Schaden in großem Ausmaß genutzt werden können. Die Komplexität des Verstoßes liegt in der Tatsache begründet, dass Kunden sich für eine Funktion namens „DNA Relatives“ entschieden haben, was zur potenziellen Offenlegung von Profilinformationen von 5,5 Millionen DNA Relatives führte, darunter geografischer Standort, Geburtsjahr, Stammbaum und hochgeladene Fotos.
Die Aktionen des Hackers
In der Klage wird behauptet, dass der Hacker unter Verwendung des Namens „Golem“ und eines Bildes von Gollum als Avatar die persönlichen Daten von mehr als einer Million 23andMe-Benutzern jüdischer Abstammung im Online-Forum BreachForums preisgegeben hat. Zu den durchgesickerten Daten gehörten die vollständigen Namen, Privatadressen und Geburtsdaten der Benutzer. Darüber hinaus bot der Hacker Zugriff auf die Profilinformationen von 100.000 chinesischen Kunden, wobei 350.000 weitere Datensätze zum Verkauf standen. In der Klage wurde auf die erhöhten Risiken hingewiesen, denen Nutzer im aktuellen geopolitischen und gesellschaftlichen Klima ausgesetzt sind, insbesondere im Hinblick auf mögliche Angriffe auf die amerikanische jüdische Bevölkerung.
Umfassendere Auswirkungen und zukünftige Vorsichtsmaßnahmen
Ramesh Srinivasan, Professor an der University of California, Los Angeles, geht davon aus, dass es wahrscheinlich weiterhin zu ähnlichen Verstößen kommen wird. Er stellt die Frage, wie Unternehmen darauf reagieren werden: indem sie ernsthafte Vorkehrungen treffen, etwa die Sicherheit erhöhen und die Vorratsdatenspeicherung einschränken, oder indem sie lediglich oberflächliche Abhilfemaßnahmen anwenden, ohne die zugrunde liegenden Probleme anzugehen. Der Verstoß erinnert an die wachsenden Gefahren, die mit der zunehmenden Datenerfassung des Lebens der Menschen einhergehen.