Kalifornien verklagt 23andMe wegen Datenpanne von 2023, von der 7 Millionen Nutzer betroffen waren

Kalifornien geht gegen ein Unternehmen für genetische Daten vor

Kaliforniens Generalstaatsanwalt Rob Bonta hat das früher als 23andMe bekannte Unternehmen, heute Chrome Holding Co., wegen der Datenpanne von 2023 verklagt, durch die sensible Informationen von 7 Millionen Nutzern offengelegt wurden. Laut dem Quelltext waren 855.541 der betroffenen Nutzer Einwohner Kaliforniens.

Die Klage richtet sich sowohl gegen die Sicherheitspraktiken als auch gegen die Kommunikation mit den Kunden. Bonta wirft dem Unternehmen vor, hochsensible persönliche und genetische Informationen nicht geschützt zu haben, darunter gesundheitsbezogene genetische Daten, Angaben zu Abstammung und ethnischer Zugehörigkeit sowie Informationen zu biologischen Verwandten.

Der Fall des Bundesstaats

23andMe hatte zuvor erklärt, dass Angreifer über credential stuffing Zugriff erlangt hätten und dabei gestohlene Zugangsdaten aus früheren Lecks verwendet hätten. Doch die kalifornische Klage, wie im Artikel zusammengefasst, argumentiert, dass ein Unternehmen, das genetische Daten verarbeitet, diese Angriffsmethode hätte erwarten und sich dagegen schützen müssen.

Bontas Argument geht weiter. Er sagt, 23andMe habe von einer Datenpanne bei MyHeritage, einer anderen Genealogie-Plattform, mit der das Unternehmen zusammenarbeitete, gewusst, aber die Wiederverwendung von Zugangsdaten nicht verhindert und nicht ausreichend geprüft. Der Artikel sagt außerdem, dass 23andMe Nutzer ermutigt hatte, sich für MyHeritage-Konten anzumelden, was die Überschneidung noch bedeutender machte.

Wie sich die Panne ausweitete

Die Klage konzentriert sich nicht nur auf die ersten Kontoübernahmen. Laut dem Quelltext verschafften sich Angreifer zunächst über credential stuffing Zugang zu rund 14.000 Konten und nutzten dann eine Schwachstelle in der Funktion DNA Relatives, um an Daten von Millionen weiterer Kunden zu gelangen.

Bonta sagt, die Sicherheitskontrollen des Unternehmens seien so schwach gewesen, dass die Angreifer fünf Monate lang unentdeckt operieren konnten. Er sagt außerdem, das Unternehmen habe erst mit der Untersuchung begonnen, nachdem gestohlene Nutzerdaten bereits im Darknet zum Verkauf aufgetaucht waren und nachdem Erpressungsforderungen erschienen waren.

Offenlegung und Schaden

Ein weiterer zentraler Punkt der Klage ist, dass 23andMe die Panne den Kunden gegenüber angeblich heruntergespielt hat. Bonta argumentiert, das Unternehmen habe wesentliche Informationen ausgelassen und behauptet, die Funktion DNA Relatives sei im Wesentlichen öffentlich gewesen, während es privat mit den Angreifern verhandelte.

Der Quelltext fügt eine besonders ernste Dimension hinzu: Das zum Verkauf stehende Datenset soll Informationen zu asiatisch-amerikanischen und pazifischinsulanischen Nutzern sowie zu jüdischen Nutzern hervorgehoben haben. Nach Darstellung des Staates erhöhte dieser Kontext das Risiko gezielter Missbräuche über die übliche Datenschutzverletzung hinaus.

Warum dieser Fall wichtig ist

Dies ist nicht nur eine weitere Klage wegen einer Datenpanne gegen ein Consumer-Tech-Unternehmen. Es geht um genetische Daten, die ein anderes Maß an Sensibilität haben, weil sie Gesundheitsdispositionen, familiäre Verbindungen und Abstammungsmerkmale offenlegen können, die sich nicht einfach wie ein Passwort zurücksetzen lassen. Der Fall in Kalifornien prüft daher, wie weit die Erwartungen an den Datenschutz steigen, wenn die zugrunde liegenden Informationen biologisch intim und potenziell dauerhaft sind.

Für die Branche insgesamt ist die Klage auch eine Warnung vor bekannten Angriffsmethoden. Credential stuffing ist nichts Neues, und die Haltung des Staates scheint zu sein, dass gängige Angriffsmuster schwache Abwehr nicht entschuldigen, insbesondere wenn Unternehmen mit ungewöhnlich sensiblen Unterlagen betraut sind.

Der Fall könnte die Erwartungen an sowohl Sicherheitsarchitektur als auch Offenlegung von Datenpannen in der Consumer-Genomik prägen. Mindestens zeigt er, dass Regulierungsbehörden bereit sind, Fehler mit genetischen Daten als mehr als nur gewöhnliche Cybervorfälle zu behandeln.

Dieser Artikel basiert auf einer Berichterstattung von Engadget. Den Originalartikel lesen.