De Britse privacytoezichthouder ICO heeft dna-testdienst 23andMe wegens een gevoelig datalek in 2023 een boete van omgerekend 2,7 miljoen euro opgelegd. Bij het datalek werden de afstammingsgegevens van 6,9 miljoen gebruikers gestolen, waaronder ruim 155.000 Britten. Het ging onder andere om genetische data, adresgegevens, etnische afkomst, familierelaties, foto's en gezondheidsdata.

Volgens de ICO liet onderzoek naar het incident zien dat 23andMe ernstig tekortschoot in het beveiligen van de gevoelige persoonsgegevens. Zo schond het bedrijf Britse privacywetgeving door het niet nemen van gepaste authenticatie- en verificatiemaatregelen, zoals verplichte multifactorauthenticatie, veilige wachtwoordprotocollen of niet voorspelbare gebruikersnamen. Ook waren er geen maatregelen genomen om toegang tot de ruwe genetische data goed te beschermen en waren er geen systemen om cyberdreigingen gericht tegen de persoonlijke informatie van gebruikers te monitoren, detecteren en stoppen, aldus de toezichthouder.

Tevens stelt de ICO dat de manier waarop 23andMe op het incident reageerde inadequaat was. Het datalek was mogelijk door middel van credential stuffing. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. Credential stuffing is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

De credential stuffing-aanval begon in april 2023, gevolgd door 'intense credential stuffing activiteit' in mei 2023. In augustus dat jaar werd de claim dat gegevens van meer dan tien miljoen gebruikers waren buitgemaakt afgedaan als een hoax, ook al had 23andMe in juli onderzoek naar ongeautoriseerde activiteit op het platform gedaan. In september volgde een nieuwe golf credential stuffing-aanvallen. Het bedrijf startte pas in oktober een volledig onderzoek, toen een medewerker ontdekte dat de gestolen data op internet te koop werd aangeboden. Pas toen bevestigde 23andMe dat het was getroffen door een datalek.

"Dit was een zeer schadelijk datalek dat de gevoelige persoonlijke informatie, familiegeschiedenis en zelfs gezondheidsaandoeningen van duizenden mensen in het VK blootstelde", aldus de Britse Informatiecommissaris John Edwards. Volgens de Britse privacytoezichthouder kan de combinatie van persoonlijke informatie in 23andMe-accounts, zoals postcodes, etnische afkomst, familierelaties en gezondheidsgegevens door criminelen worden gebruikt voor financieel gewin, surveillance en discriminatie. In maart van dit jaar vroeg 23andMe faillissement aan. Het bedrijf, waaronder ook de dna-data van miljoenen gebruikers, is vorige week verkocht aan een onderzoekinstituut