Am Freitag gab das Gentestunternehmen 23andMe bekannt, dass Hacker direkt auf die persönlichen Daten von 0,1 % seiner Kunden oder etwa 14.000 Menschen zugegriffen haben. Das Unternehmen sagte außerdem, dass die Hacker durch den Zugriff auf diese Konten auch auf „eine große Anzahl von Dateien mit Ahnenprofilinformationen für andere Benutzer“ zugreifen konnten. 23andMe gab jedoch nicht bekannt, wie viele „andere Benutzer“ von der Sicherheitslücke betroffen waren, die das Unternehmen ursprünglich Anfang Oktober offengelegt hatte. Es stellte sich heraus, dass es viele „andere Nutzer“ gab, die Opfer dieser Datenschutzverletzung waren: Insgesamt waren 6,9 Millionen Menschen betroffen.

23andMe-Sprecherin Katie Watson bestätigte am späten Samstag in einer E-Mail an TechCrunch, dass Hacker Zugriff auf die persönlichen Daten von etwa 5,5 Millionen Menschen erhalten haben, die sich für die DNA-bezogene Suchfunktion von 23andMe entschieden haben, die es Benutzern ermöglicht, einige ihrer Daten automatisch mit anderen zu teilen. Zu den gestohlenen Daten gehörten Einzelnamen, Geburtsjahre, Verwandtschaftskennzeichen, Anteil der mit Verwandten geteilten DNA, Abstammungsberichte und selbst gemeldete Standorte.

23andMe bestätigte außerdem, dass „auch auf Stammbaumprofilinformationen zugegriffen wurde“ für eine weitere Gruppe von etwa 1,4 Millionen Menschen, die sich für DNARelatives entschieden hatten, sagte der Sprecher, darunter Namen, Verwandtschaftskennzeichen, Geburtsjahre, selbst gemeldete Orte und ob der Benutzer sich entschieden hat, seine Informationen weiterzugeben. (23andMe gibt an, dass es sich bei Teilen seiner E-Mails um „Hintergrundinformationen“ handelt und dass beide Parteien den entsprechenden Bedingungen im Voraus zustimmen müssen).

Es war unklar, warum 23andMe die Daten am Freitag nicht offenlegte. Unter Berücksichtigung der neu hinzugefügten Daten betraf der Datenverstoß tatsächlich etwa die Hälfte der insgesamt 14 Millionen Kunden von 23andMe.

Anfang Oktober veröffentlichte ein Hacker in einem bekannten Hacker-Forum einen Beitrag, in dem er behauptete, die DNA-Informationen von 23andMe-Benutzern gestohlen zu haben. Als Beweis für den Verstoß veröffentlichte der Hacker angeblich Daten von 1 Million Nutzern jüdischer aschkenasischer Abstammung und 100.000 chinesischen Nutzern und forderte potenzielle Käufer auf, die Daten für 1 bis 10 US-Dollar pro einzelnem Konto zu erwerben. Zwei Wochen später veröffentlichte derselbe Hacker die angeblichen Aufzeichnungen von weiteren 4 Millionen Menschen im selben Hacker-Forum.

Später veröffentlichte ein anderer Hacker in einem anderen Hacker-Forum eine Anzeige für eine Reihe angeblich gestohlener 23andMe-Kundendaten, zwei Monate bevor darüber allgemein berichtet wurde.

Bei der Analyse von Daten, die vor Monaten durchgesickert sind, ist es nicht schwer, Aufzeichnungen zu finden, die mit genetischen Daten übereinstimmen, die von Amateuren und Ahnenforschern online veröffentlicht wurden. Die beiden Informationssätze liegen in unterschiedlichen Formaten vor, enthalten jedoch teilweise dieselben eindeutigen Benutzer- und allgemeinen Daten, was darauf hindeutet, dass es sich bei den von den Hackern durchgesickerten Daten zumindest teilweise um echte 23andMe-Kundendaten handelt.

Als 23andMe den Vorfall im Oktober dieses Jahres offenlegte, hieß es, der Datenverstoß sei durch die Wiederverwendung von Passwörtern durch Kunden verursacht worden, was es Hackern ermöglichte, bei Datenverstößen anderer Unternehmen offengelegte Passwörter zu nutzen, um die Konten der Opfer brutal zu erzwingen. Da die DNARelatives-Funktion Benutzer mit ihren Verwandten abgleicht, könnten Hacker durch die Kompromittierung eines persönlichen Kontos die persönlichen Daten des Kontoinhabers und seiner Verwandten einsehen und so die Gesamtzahl der 23andMe-Opfer erhöhen.