De Amerikaanse staat Californië klaagt dna-testdienst 23andMe aan wegens een gevoelig datalek dat werd veroorzaakt door credential stuffing. Bij het het datalek werden de afstammingsgegevens van zo'n zeven miljoen gebruikers gestolen. Het ging onder andere om genetische data, adresgegevens, etnische afkomst, familierelaties, foto's en gezondheidsdata.
23andMe heeft wereldwijd miljoenen gebruikers, waaronder in Nederland. In 2023 wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. Via deze feature is het mogelijk om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.
Volgens de procureur-generaal van Californië had 23andMe, zeker als een bedrijf dat gevoelige persoonlijke en genetische data verzamelt, maatregelen tegen credential stuffing moeten nemen. Verder stelt de procureur-generaal dat de verklaringen van 23andMe over het datalek richting gebruikers misleidend waren en er belangrijke informatie voor slachtoffers ontbrak. Ook zou de dna-testdienst de schuld bij gebruikers hebben gelegd.
Daarnaast zou 23andMe gezien de aard van de persoonlijke informatie geen passende beveiligingsmaatregelen hebben getroffen. Het bedrijf zou zodoende verschillende Californische wetten hebben overtreden. Vanwege het datalek trof 23andMe eerder al met verschillende privacytoezichthouders een schikking of kreeg het boetes opgelegd. Het bedrijf vroeg ook faillissement aan en kwam vervolgens in handen van een onderzoeksinstituut.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
