23andMe-Datenleck: Generalstaatsanwalt klagt über 7 Millionen Profile

, die ehemalige 23andMe, eingeleitet. Grund ist ein massiver Datenleck aus dem Jahr 2023, bei dem persönliche Daten von Millionen Kunden kompromittiert wurden. Die Klage, eingereicht Ende Mai 2026 in San Francisco, wirft dem Unternehmen vor, unzureichende Sicherheitsmaßnahmen getroffen und die Öffentlichkeit über seine Datenschutzpraktiken getäuscht zu haben.

Der Fall 23andMe zeigt drastisch, wie unentdeckte Sicherheitslücken und schwache Login-Verfahren zum massiven Datenverlust führen können. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen vor modernen Cyberangriffen schützen. IT-Sicherheit ohne teure Investitionen stärken

Fünf Monate unentdeckt: Die Chronik des Angriffs

Die Cyberangriffe begannen im April 2023 und blieben ganze fünf Monate lang unbemerkt. Die Hacker nutzten eine Methode namens Credential Stuffing – sie verwendeten Login-Daten, die sie aus einem früheren Einbruch bei MyHeritage aus dem Jahr 2017 erbeutet hatten. Ihr Ziel: eine Schwachstelle in der Funktion DNA Relatives. Am Ende waren rund 7 Millionen Profile weltweit betroffen.

Die gestohlenen Daten umfassen rohe genetische Informationen, Abstammungsdetails und sensible Gesundheitsberichte. Besonders brisant: Von den fast 7 Millionen Betroffenen leben mehr als 855.000 in Kalifornien. Die Klage enthüllt zudem, dass das Unternehmen im Oktober 2023 ein Lösegeld von 400.000 Dollar in Kryptowährung an die Angreifer zahlte.

Insolvenz und Neustrukturierung

Die rechtlichen Schritte folgen auf eine turbulente Zeit für den Gentest-Anbieter. 23andMe meldete im März 2025 Insolvenz an und wurde anschließend vom TTAM Research Institute unter der Leitung von CEO Anne Wojcicki übernommen. Seither firmiert das Unternehmen unter Chrome Holding Co.

Die aktuelle Klage richtet sich sowohl gegen Chrome Holding Co. als auch gegen das TTAM Research Institute. Sie ist unabhängig von laufenden Verfahren vor dem US-Insolvenzgericht, die den möglichen Verkauf der vor der Pleite gesammelten genetischen Daten betreffen.

Ob durch Credential Stuffing oder gezielte Manipulation – Hacker nutzen oft psychologische Schwachstellen und technische Lücken gnadenlos aus. Dieser Gratis-Report enthüllt aktuelle Methoden der Cyberkriminellen und zeigt Ihnen in 4 Schritten den Weg zur erfolgreichen Abwehr. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Verstöße gegen gleich mehrere Gesetze

Bontas Behörde argumentiert, dass die Sicherheitslücken und die verspätete Entdeckung des Einbruchs gegen mehrere kalifornische Gesetze verstoßen haben – darunter das Genetic Information Privacy Act, der California Consumer Privacy Act (CCPA) und das Gesetz gegen unlauteren Wettbewerb. Zusätzlich wirft die Klage dem Unternehmen falsche Werbung vor: Es habe die Stärke seiner Sicherheitsprotokolle gegenüber Verbrauchern bewusst übertrieben dargestellt.

Die Klage fordert dauerhafte Unterlassungsverfügungen sowie empfindliche Geldstrafen. Pro Verstoß drohen dem Unternehmen zwischen 1.000 und 7.500 Dollar. Der Generalstaatsanwalt betonte, dass genetische Daten den höchsten Schutz verdienten – und das Versäumnis, einen fünfmonatigen Einbruch zu erkennen, eine schwerwiegende Pflichtverletzung gegenüber den Verbrauchern darstelle.

de | wissenschaft | 69458303 |