In een recent cyberbeveiligingsincident heeft 23andMe, een bedrijf dat zich bezighoudt met genetica, bevestigd dat hackers met behulp van gestolen wachtwoorden toegang kregen tot de persoonlijke gegevens van ongeveer 6,9 miljoen van zijn leden.
Hoewel de hackers slechts konden binnendringen in ongeveer 14.000 accounts -wat neerkomt op 0,1% van de klanten- waren ze in staat om informatie te zien die genetisch verwante familieleden deelden op 23andMe, aldus een woordvoerder in een reactie aan AFP.
23andMe is bezig de getroffen klanten op de hoogte te brengen en versterkt de accountbeveiliging door gebruikers te verplichten hun wachtwoorden opnieuw in te stellen en een tweede authenticatiemethode in te voeren door een tijdelijke code naar een mobiele telefoon te sturen.
Begin oktober ontdekte 23andMe dat datadieven waren binnengedrongen in accounts die werden beschermd door inloggegevens die waren gerecycled van andere gecompromitteerde websites, aldus het bedrijf.
"We hebben geen aanwijzingen dat er een datalek of beveiligingsincident binnen onze systemen is geweest, noch dat 23andMe de bron is van de accountgegevens die bij deze aanvallen zijn gebruikt."
Van de 6,9 miljoen gehackte accounts bevatten er 5,5 miljoen informatie over genetische overeenkomsten en ze konden ook geboortedata en -plaatsen bevatten als die door gebruikers waren verstrekt, aldus 23andMe.
Nog eens 1,4 miljoen gehackte accounts hadden beperkte toegang tot specifieke DNA-profielgegevens als onderdeel van de functie "Family Tree", aldus de woordvoerder.
Het nieuws over het 23andMe datalek dook online op in oktober, toen hackers op BreachForums, een gerenommeerd hacking forum, aankondigden dat ze de vermeende gegevens hadden van een miljoen gebruikers met Asjkenazische Joodse voorouders en 100.000 Chinese gebruikers.
Ongeveer twee weken later zette dezelfde hacker die oorspronkelijk de gestolen gebruikersgegevens had bekendgemaakt, de vermeende gegevens van nog eens vier miljoen mensen te koop. De hacker probeerde de gegevens van individuele slachtoffers te verkopen voor tussen de $1 en $10.
TechCrunch ontdekte dat een andere hacker op een ander hacking forum nog meer gestolen gebruikersgegevens had aangeboden, twee maanden voordat de aankondiging in oktober in de media verscheen. In die eerste aankondiging beweerde de hacker 300 terabytes aan gestolen 23andMe gebruikersgegevens te hebben en hij eiste $50 miljoen om de hele database te verkopen, of tussen $1.000 en $10.000 voor een subset van de gegevens.
23andMe werd opgericht in 2006 en is gevestigd in Mountain View, Californië, waar ook Google zijn hoofdkantoor heeft.
Deze hack roept belangrijke vragen op over de veiligheid van genetische gegevens en de mogelijke gevolgen voor de privacy van personen.