Datenschutzbeauftragte aus Großbritannien und Kanada untersuchen gemeinsam den 23andMe-Datenmissbrauch

Die britische Datenschutzbehörde (Information Commissioner’s Office, ICO) und die kanadische Datenschutzbehörde (Office of the Privacy Commissioner of Canada, OPC) haben sich zusammengetan, um den 23andMe-Datenmissbrauch vom letzten Jahr zu untersuchen. Diese Zusammenarbeit konzentriert sich darauf, das Ausmaß des Schadens für die Kunden zu bestimmen, die vorhandenen Sicherheitsprotokolle zu bewerten und die Transparenz der Kommunikation des Unternehmens mit den Aufsichtsbehörden zu beurteilen.

23andMe Datenpanne löst Untersuchung aus

Laut John Edwards, dem britischen Informationsbeauftragten, ist es von entscheidender Bedeutung, das Vertrauen in Organisationen, die mit sensiblen Daten umgehen, zu erhalten. Er betonte, dass der Datenschutzverstoß weltweite Auswirkungen hatte und dass die Zusammenarbeit mit den kanadischen Behörden auf den Schutz der persönlichen Daten der britischen Bürger ausgerichtet ist.

Der kanadische Datenschutzbeauftragte Philippe Dufresne wies auf die Risiken hin, die mit dem Missbrauch genetischer Daten verbunden sind und die zu Überwachung oder Diskriminierung führen können. Er unterstrich die globale Bedeutung des Schutzes persönlicher Daten und forderte die Datenschutzbehörden auf, gegenüber bösartigen Bedrohungen wachsam zu bleiben.

Die Datenpanne bei 23andMe, von der fast 7 Millionen Nutzer betroffen sind, gehört zu den wichtigsten Vorfällen des Jahres. Es ist schockierend, dass das Unternehmen fünf Monate lang nichts von dem Verstoß wusste und erst durch einen Reddit-Beitrag davon erfuhr.

Der Hacker, bekannt als „Golem“, teilte die kompromittierten Daten auf BreachForums und konzentrierte sich dabei besonders auf aschkenasische jüdische Kunden. Darüber hinaus machte Golem antisemitische Äußerungen und erhob Anschuldigungen gegen europäische Politiker.

Obwohl zunächst nur 14.000 Konten betroffen waren, hat die Funktion DNA-Verwandte das Problem vergrößert, indem sie Daten von Millionen von Nutzern preisgab. Die komplizierten Datenschutzeinstellungen von 23andMe ermöglichten es den Hackern, verschiedene Arten von Daten zu sammeln, von grundlegenden Profilinformationen bis hin zu umfassenden Stammbäumen und Chromosomendetails. Dies führte dazu, dass hochsensible Informationen preisgegeben wurden.

Der jüngste Einbruch bei 23andMe hat eine heftige Debatte ausgelöst, vor allem weil das Unternehmen das Problem auf die laxen Sicherheitspraktiken der Kunden zurückführte. Es gab zwar Reaktionen, die 23andMe vorwarfen, den Opfern die Schuld zu geben, aber einige sind sich einig, dass die Nachlässigkeit der Nutzer eine Rolle bei dem Vorfall gespielt hat.

Die Angreifer setzten eine Technik ein, die als Credential Stuffing bekannt ist: Sie verwenden gestohlene Zugangsdaten, um sich Zugang zu mehreren Konten zu verschaffen. Auch wenn diese Methode schwer zu erkennen ist, kann sie durch stärkere Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung entschärft werden. Es ist wichtig, dass 23andMe die 2-Faktor-Authentifizierung erst im November 2023, nach dem Sicherheitsverstoß, zur Pflicht gemacht hat, was weitere behördliche Untersuchungen nach sich ziehen könnte.

Ein Sprecher von 23andMe hat bestätigt, dass das Unternehmen in vollem Umfang mit den Ermittlungen kooperiert, die sich auf den im Oktober 2023 festgestellten Angriff zum Ausfüllen von Zugangsdaten beziehen. In der Zwischenzeit haben sowohl das ICO als auch die OPC angekündigt, dass sie keine weiteren Kommentare abgeben werden, bis die Untersuchung abgeschlossen ist.

Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert