Das Biotechunternehmen 23andMe, bekannt für seine Ahnenforschungsdienste und DNA-Analysen, wurde Opfer eines massiven Hackerangriffs.
Wie Spiegel berichtet, haben Unbekannte die Daten von Millionen von 23andMe-Kunden erbeutet, indem sie eine Funktion des Unternehmens ausnutzten, die es ermöglicht, genetische Verwandte zu finden.
Die Angreifer nutzten den "DNA Relative Finder" von 23andMe, um Zugriff auf 5,5 Millionen Datensätze zu erhalten, die Nutzer für die Suche nach genetischen Verwandten freigegeben hatten.
Dadurch konnten sie auf Namen, Geburtsdaten, bestimmte Verwandtschaftskennzeichen, den Prozentsatz der mit Verwandten geteilten DNA sowie Abstammungsberichte und die von den Betroffenen angegebenen Aufenthaltsorte zugreifen.
Zusätzlich griffen die Hacker auf die Stammbäume von weiteren 1,4 Millionen Personen zu, wodurch sie auch hier Namen, Geburts- und Standortdaten sowie weitere Informationen einsehen konnten.
Insgesamt konnten die Unbekannten auf Daten von fast der Hälfte der 14 Millionen 23andMe-Kunden zugreifen. Interessanterweise nutzten die Täter keine Schwachstelle in den Sicherheitsvorkehrungen von 23andMe aus.
Stattdessen führten sie einen sogenannten Credential-Stuffing-Angriff durch, bei dem Zugangsdaten aus anderen Datenlecks verwendet werden, um Kombinationen aus Nutzernamen und Passwörtern auf weiteren passwortgeschützten Angeboten auszuprobieren.
Diese Methode nutzt die Tatsache aus, dass viele Nutzer dieselben Passwörter verwenden.
