23andMe bevestigt dat aanvallers maanden geleden ruwe genotypegegevens hebben gestolen tijdens massale inbreuken

Bij een enorme inbreuk op de gegevensbeveiliging heeft 23andMe, een vooraanstaande direct-to-consumer genetische testdienst, bevestigd dat aanvallers enkele maanden geleden met succes ruwe genotypegegevens van miljoenen gebruikers hebben gestolen. Het bedrijf heeft getroffen gebruikers ervan op de hoogte gebracht dat de gecompromitteerde informatie genotypegegevens, gezondheidsrapporten en andere gevoelige details omvat.

De inbreuk, die vijf maanden duurde van eind april 2023 tot en met september 2023, was het gevolg van een aanval waarbij de inloggegevens werden gevuld en niet van een directe inbraak in de systemen van 23andMe. De aanvallers maakten misbruik van hergebruikte wachtwoorden en verkregen zo ongeautoriseerde toegang tot gebruikersaccounts. Volgens de inbreukmelding die naar de getroffen personen werd gestuurd, profiteerde de bedreigingsacteur van het feit dat gebruikers op 23andMe.com dezelfde inloggegevens gebruikten als op andere websites die eerder waren gehackt.

Uit het onderzoek van 23andMe bleek dat de aanvallers toegang konden krijgen tot de ononderbroken ruwe genotypegegevens van gebruikers en andere gevoelige informatie, waaronder gezondheidsrapporten, rapporten over de gezondheidspredispositie, welzijnsrapporten en rapporten over de dragerschapsstatus. Deze inbreuk vormt een aanzienlijk risico, omdat hierbij sprake is van de openbaarmaking van zeer persoonlijke en private genetische en gezondheidsgerelateerde gegevens.

Interessant genoeg beweerde een bedreigingsacteur, bekend als Golem, in oktober van het voorgaande jaar gegevens te hebben verkregen van zeven miljoen 23andMe-gebruikers. De gestolen gegevensmonsters werden gedeeld op de cybercriminaliteitsmarktplaats BreachForums, met vermeldingen zoals naam, geslacht, leeftijd, locatie en afkomstmarkeringen, waaronder afstammings-, yDNA- en mtDNA-haplogroepen die de voorouders van vaders en moeders traceren. Eén lek zou met name gericht zijn op één miljoen ‘beroemdheden’ van Joodse Asjkenazische afkomst, terwijl een andere groep meer dan vier miljoen personen omvatte, voornamelijk uit het Verenigd Koninkrijk. Hoewel de oorspronkelijke berichten op het forum zijn verwijderd, zijn andere forumleden doorgegaan met het opnieuw posten van de gegevens.

Als reactie op het beveiligingsincident heeft 23andMe proactieve maatregelen genomen door multi-factor authenticatie voor alle gebruikers te implementeren. Deze extra beveiligingslaag heeft tot doel de bescherming te verbeteren en het risico van ongeoorloofde toegang te beperken, waarbij het belang wordt benadrukt van het beschermen van gevoelige genetische en gezondheidsinformatie in een steeds meer onderling verbonden digitaal landschap. De inbreuk herinnert aan de voortdurende uitdagingen waarmee bedrijven worden geconfronteerd bij het beveiligen van gebruikersgegevens en de cruciale rol die gebruikers spelen bij het onderhouden van sterke, unieke wachtwoorden op verschillende online platforms.