Unsichere Passwörter

Update: 23andme gibt Usern die Schuld an Datenverlust

Uhr
von Yannick Züllig und msc, rja, tme

23andme beschuldigt seine User, selbst für den Verlust ihrer Daten verantwortlich zu sein. Sie hätten zu wenig sichere Passwörter verwendet.

(Source: Sangharsh Lohakare / Unsplash)
(Source: Sangharsh Lohakare / Unsplash)

Update vom 15.01.2024: Die Familiengenetik-Website "23andMe" schiebt seinen Nutzerinnen und Nutzern die Verantwortung für den Verlust ihrer Daten zu. Laut einem Bericht von "TechCrunch" wirft das Unternehmen ihnen vor, unzureichende Passwörter verwendet zu haben, was zu einem Datenleck geführt habe.

23andMe betont, dass die Sicherheitssysteme des Unternehmens nicht kompromittiert wurden und nur Daten von Usern abgegriffen wurden, die unsichere Passwörter verwendeten. Die Hacker erlangten Zugriff auf die Konten von rund 14'000 Nutzerinnen und Nutzern durch "Credential Stuffing" (siehe unten). Eine Untersuchung im Dezember 2023 ergab jedoch, dass insgesamt 6,9 Millionen Benutzer durch ein optionales DNA-Verwandtschaftsfindungs-Feature von dem Datenleck betroffen waren - das entspricht etwa der Hälfte der 23andMe-Kunden.

Beide Seiten weisen sich gegenseitig die Schuld zu

In einem Schreiben an eine Gruppe von Hunderten von 23andMe-Nutzern, die das Unternehmen nun verklagen, erklärte 23andMe jedoch, dass "die Nutzer ihre Passwörter nach diesen vergangenen Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig recycelt und nicht aktualisiert haben".

"Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmassnahmen zu treffen", heisst es in dem Schreiben weiter.

"Diese Schuldzuweisung ist unsinnig. 23andMe wusste oder hätte wissen müssen, dass viele Verbraucher wiederverwendete Passwörter verwenden, und hätte daher einige der zahlreichen Sicherheitsvorkehrungen zum Schutz vor Credential Stuffing implementieren müssen - vor allem, wenn man bedenkt, dass 23andMe persönliche Identifikationsdaten, Gesundheitsinformationen und genetische Informationen auf seiner Plattform speichert", erklärt ein Anwalt der Opfer gegenüber TechCrunch.

Update vom 4.12.2023:

23andme bestätigt Datenleck

Beim Cyberangriff auf "23andMe" sind Daten abgeflossen. Dies bestätigen die Betreiber der die Familiengenetik-Website. Die Cyberkriminellen sollen auf rund 14'000 Kundenkonten zugegriffen haben, wie "TechCrunch" unter Berufung auf einen Bericht der Plattform an die US-amerikanische Securities & Exchange Commission (SEC) berichtet.

Demnach habe die interne Untersuchung von "23andMe" ergeben, dass Hacker auf 0,1 Prozent des Kundenstamms zugegriffen haben. Laut dem jüngsten Jahresbericht des Unternehmens hat 23andMe "mehr als 14 Millionen Kunden weltweit".

Weiter heisst es jedoch, dass die Hacker durch den Zugriff auf diese Konten auch in der Lage waren, auf "eine beträchtliche Anzahl von Dateien zuzugreifen, die Profildaten über die Abstammung anderer Nutzer enthielten, die diese Nutzer bei der Anmeldung für die DNA-Verwandtenfunktion von 23andMe freigegeben hatten".

Mit der optionalen DNA-Verwandtenfunktion können allfällige Verwandte, welche ebenfalls bei 23andMe angemeldet sind, gefunden werden. Wenn Nutzer sich für diese Funktion entscheiden, gebe "23andMe" einige der Informationen dieses Nutzers an andere weiter. Das bedeutet, dass die Hacker durch den Zugriff auf das Konto eines Opfers auch die persönlichen Daten von Personen einsehen konnten, die mit diesem ersten Opfer verbunden sind. 

Originalmeldung vom 11.10.2023:

Hacker bietet angebliche "23andme"-Daten feil

Ein Hacker bewirbt auf einer Darknet-Plattform Millionen von Datensätzen, die angeblich von der Familiengenetik-Website "23andMe" gestohlen worden sind. Wie die Nachrichtenagentur Reuters berichtet, wurden die Daten jedoch nicht im Zuge eines Angriffs auf das Unternehmen selbst entwendet, sondern von den Profilen einzelner User abgegriffen.

"Wir haben derzeit keine Hinweise darauf, dass es in unseren Systemen zu einem Datensicherheitsvorfall gekommen ist", heisst es in einer Erklärung des Unternehmens. Es sei davon ausgehen, dass es den Hackern gelang, mittels Credential Stuffing Zugriff auf die Konten der 23andMe-User erhalten. Dabei werden die Passwörter von Nutzern, welche von einer Website gestohlen wurden, gesammelt und zum Login auf einer anderen Website ausprobiert.

Gemäss Reuters ist unklar, welchen Umfang das gestohlene Datenpaket genau hat. Der Hacker habe in verschiedene Posts widersprüchliche Zahlen und Beschreibungen dessen, was er gestohlen hatte.

23andMe bietet Privatpersonen eine Untersuchung ihrer genetischen Informationen an. Die eingesendete Speichelprobe wird auf etwa 200 genetisch bedingte Krankheiten und 99 weitere Veranlagungen untersucht. Auch Angaben zur geografischen Herkunft werden geliefert.

Lesen Sie auch: Berner Kantonspolizei räumt Datenabfluss ein.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
f5uuqKk8