Am 6. Juli 2023 registrierten 23andMes Server über eine Million erfolgreicher Logins auf dasselbe Kundenkonto — an einem einzigen Tag. Das Unternehmen tat: nichts. Knapp vier Monate liefen die Angreifer durch das System, bis der Breach im Oktober öffentlich wurde. Was die Klage des kalifornischen Generalstaatsanwalts jetzt ans Licht bringt, geht über fahrlässige Sicherheitslücken hinaus.
Credential Stuffing durch eine technisch verstärkte Hintertür
Der Angriff war klassisches Credential Stuffing: gestohlene Login-Daten aus anderen Datenlecks, einfach ausprobiert. Auf 23andMe funktionierte das von April bis August 2023 — ohne dass jemand eine Schutzfunktion einschaltete. Keine Rate-Limits, keine Anomalie-Erkennung nach verdächtigen Mustern, keine Zwangs-MFA nach ungewöhnlicher Login-Häufigkeit.
Verstärkt wurde der Schaden durch einen Programmierfehler in der „DNA Relatives“-Funktion. Das Feature, das Nutzern helfen soll, genetische Verwandte zu finden, lieferte bei einem geknackten Konto automatisch Daten verknüpfter Profile mit — eine Art Schneeballeffekt durch das eigene Produktdesign. Aus direkt kompromittierten Konten wurden so Zugriffe auf rund sieben Millionen Kundendatensätze, inklusive genetischer Profile und Gesundheitsinformationen.
Bezahlt, geschwiegen, Schuld weitergeschoben
Was die Klageschrift von Attorney General Rob Bonta besonders heikel macht: 23andMe soll im Oktober 2023 Geld an den Angreifer gezahlt haben, damit dieser kompromittierende Informationen über Sicherheitslücken aus dem Netz entfernt — und das, während das Unternehmen gleichzeitig öffentlich behauptete, es habe keinen Sicherheitsvorfall gegeben. Die genaue Summe bleibt in der Klage ungenannt. Ob die Zahlung tatsächlich stattgefunden hat, ist bislang ausschließlich aus dem Klagedokument bekannt; eine unabhängige Bestätigung steht aus.
Stattdessen empfahl 23andMe seinen Kunden, starke und einzigartige Passwörter zu verwenden. Bonta beschreibt das als gezielte Schuldverschiebung auf die Nutzer — bei Credential Stuffing besonders zynisch, denn die Methode setzt auf Passwörter, die anderswo bereits geleakt wurden. Das eigene System hätte dieses Muster erkennen und bremsen können.
Sicherheitsbehörden und Incident-Response-Experten raten seit Jahren einheitlich davon ab, Erpresser zu bezahlen: Es gibt keine Garantie, dass Daten wirklich gelöscht werden, und eine Zahlung finanziert die nächste Attacke. Diese Frage taucht auch in meinen Kundengesprächen auf — meine Antwort ist seit Jahren dieselbe: nicht zahlen, außer wenn absolut keine andere Option bleibt, und auch dann nur mit juristischer Begleitung.
Genetische Daten: nicht rückrufbar
Was diesen Fall von anderen Datenpannen unterscheidet, ist die Art der betroffenen Daten. Ein geleaktes Passwort lässt sich ändern, eine E-Mail-Adresse ist irgendwie ersetzbar. Genetische Informationen nicht. Wer heute weiß, dass sein DNA-Profil 2023 in unbefugte Hände geraten ist, kann das nicht rückgängig machen — auch nicht, weil 23andMe inzwischen Insolvenzverfahren angemeldet hat.
Bonta stützt die Klage unter anderem auf den Genetic Information Privacy Act, der Genominformationen als besonders schützenswert einstuft. In Deutschland würde die DSGVO ähnliche Anforderungen stellen — inklusive der 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde nach Bekanntwerden eines Vorfalls. Credential Stuffing lässt sich mit bekannten Mitteln eindämmen; aktiv zu verschweigen und dem Täter Geld zu zahlen ist eine andere Kategorie von Fehler.
