(SeaPRwire) – Einige 6,9 Millionen 23andMe-Kunden hatten ihre Daten nach einem anonymen Hacker kompromittiert und sie im Internet zum Verkauf angeboten, wie das Unternehmen am Montag mitteilte.
Die kompromittierten Daten enthielten Informationen zur Abstammung der Nutzer sowie in einigen Fällen auf der Grundlage ihrer genetischen Profile.
Datenschützer warnen seit langem, dass das Teilen von DNA-Daten mit Testunternehmen wie 23andMe und Ancestry die Verbraucher verwundbar gegenüber der Offenlegung sensibler genetischer Informationen macht, die Gesundheitsrisiken von Einzelpersonen und mit ihnen Verwandten offenlegen können.
Im Fall des 23andMe-Verstoßes hatte der Hacker nur direkt auf etwa 14.000 der 14 Millionen 23andMe-Kunden zugegriffen, also auf 0,1%. Aber bei 23andMe teilen viele Nutzer Informationen freiwillig mit genetisch verwandten Menschen – einschließlich entfernter Cousins, die sie nie getroffen haben – um mehr über die eigene Genetik und Stammbäume zu erfahren. So hatte der Hacker über diese 14.000 Konten Zugang zu Informationen über Millionen weiterer Menschen. Ein wesentlich kleinerer Teil der Kunden hatte Zugang zu Gesundheitsdaten.
Nutzer können wählen, ob sie verschiedene Arten von Daten wie Name, Standort, Abstammung und Gesundheitsinformationen wie genetische Veranlagung für Krankheiten wie Asthma, Angstzustände, Bluthochdruck und altersbedingte Makuladegeneration teilen möchten.
Die Offenlegung solcher Informationen könnte besorgniserregende Auswirkungen haben. In den USA werden Gesundheitsinformationen in der Regel durch den Health Insurance Portability and Accountability Act (HIPAA) geschützt. Solche Schutzbestimmungen gelten jedoch nur für Gesundheitsdienstleister.
Das Genetic Information Nondiscrimination Act (GINA) von 2008 soll vor Diskriminierung bei der Beschäftigung und bei der Krankenversicherung schützen, falls Informationen aus einem DNA-Test in die Öffentlichkeit gelangen. Dies soll Einzelpersonen davor schützen, eine Stelle oder eine Krankenversicherung verweigert zu bekommen, wenn beispielsweise ein DNA-Test zeigt, dass sie ein erhöhtes Risiko haben, eine behindernde Krankheit zu entwickeln.
Das Gesetz hat jedoch Lücken; sowohl Lebensversicherungen als auch Invaliditätsversicherungen dürfen Menschen auf der Grundlage ihrer genetischen Informationen Policen verweigern.
Es gab auch andere Fälle, in denen Daten von DNA-Test-Unternehmen kompromittiert wurden. 23andMe ist jedoch der erste Fall eines größeren Unternehmens, bei dem die Offenlegung von Gesundheitsinformationen öffentlich bekannt gegeben wurde. (Die US-Handelskommission FTC ordnete kürzlich einem kleineren Unternehmen, Vitagene, an, den Datenschutz zu verstärken, nachdem Gesundheitsinformationen kompromittiert wurden.)
Der Hacker scheint Credential Stuffing verwendet zu haben, indem er individuelle 23andMe-Konten mit Passwörtern anmeldete, die wiederverwendet und zuvor bei anderen Websites gehackt wurden, die bereits gehackt wurden. Das Unternehmen sagte, es gebe keine Hinweise auf einen internen Sicherheitsverstoß.
Seit dem Hack erfordert das Unternehmen Zwei-Faktor-Authentifizierung, um Credential-Stuffing-Angriffe auf der Website zu verhindern. Es rechnet mit Kosten in Höhe von 1 bis 2 Millionen US-Dollar im Zusammenhang mit dem Verstoß.
Der Artikel wird von einem Drittanbieter bereitgestellt. SeaPRwire (https://www.seaprwire.com/) gibt diesbezüglich keine Zusicherungen oder Darstellungen ab.
Branchen: Top-Story, Tagesnachrichten
SeaPRwire liefert Echtzeit-Pressemitteilungsverteilung für Unternehmen und Institutionen und erreicht mehr als 6.500 Medienshops, 86.000 Redakteure und Journalisten sowie 3,5 Millionen professionelle Desktops in 90 Ländern. SeaPRwire unterstützt die Verteilung von Pressemitteilungen in Englisch, Koreanisch, Japanisch, Arabisch, Vereinfachtem Chinesisch, Traditionellem Chinesisch, Vietnamesisch, Thailändisch, Indonesisch, Malaiisch, Deutsch, Russisch, Französisch, Spanisch, Portugiesisch und anderen Sprachen.