Gerichtsunterlagen: Ließ sich 23andMe erpressen?

Drei Jahre nach dem Skandal um den Genanlalyse-Dienstleister 23andMe beschäftigt dieser wieder die Justiz. Kaliforniens Generalstaatsanwalt Rob Bonta wirft dem Unternehmen im Kern vor, verdächtige Aktivitäten auf den Servern ignoriert zu haben, die Implementierung widerstandsfähiger Datenschutzmaßnahmen versäumt und die Öffentlichkeit nicht angemessen über den Vorfall aufgeklärt zu haben.

Die Klage richtet sich zwar gegen eine „Chrome Holding“, der 23andMe mittlerweile gehört – doch im Fokus steht weiter 23andMe. Bis heute firmiert der Genanalyse-Anbieter unter diesem Namen und bietet die Möglichkeit, die eigene DNA analysieren zu lassen. Bonta verweist auf Ermittlungsergebnisse, 23andMe soll demnach bereits deutlich vor dem offiziellen Bekanntwerden des Leaks im Jahr 2023 seltsame Aktivitäten auf seinen Servern bemerkt haben. Demnach habe das Unternehmen am 6. Juli 2023 einen verdächtigen Anstieg der Anmeldeversuche festgestellt, über eine Million erfolgreiche Anmeldungen auf dasselbe Kundenkonto soll es innerhalb eines einzigen Tages gegeben haben. Zudem sollen 1300 Anmeldeanfragen pro Minute von einer einzigen IP-Adresse gekommen sein. Trotz dieses kritischen Warnsignals hätte 23andMe keine Maßnahmen zum Schutz seiner Kundendaten ergriffen, moniert Bonta.

Bonta: Warnsignale schon Monate vorher

Am 11. August 2023 tauchte laut der Klageschrift dann ein Angebot von 23andMe-Kundendaten im Dark Web auf, was auch im 23andMe-Subreddit thematisiert wurde. Auch das hätte das Unternehmen mitbekommen, habe aber keinerlei Maßnahmen ergriffen oder weitere Sicherheitsmaßnahmen implementiert. Untersuchungen hätten ergeben, dass die Angreifer von April bis August 2023 Zugriff auf die Server hatten. Der Angriff soll mithilfe von Credential Stuffing erfolgt sein – also mit erbeuteten Login-Daten von 23andMe-Nutzern für andere Webseiten, die aber identisch mit denen für 23andMe sind. Zudem nutzten die Angreifer eine Funktion des 23andMe-Portals aus, die es Nutzern ermöglichen sollte „genetische Verwandte“ zu finden, also fremde Menschen mit einer ganz ähnlichen DNA. Die Funktion war offenbar so implementiert, dass der initiale Zugriff auf 14.000 Accounts bei 23andMe letztlich Zugang zu Daten von ingesamt sieben Millionen Kunden ermöglichte, eine Million davon sollen laut Bonta aus Kalifornien stammen.

Am 1. Oktober 2023 wurden demnach dann Kundendaten von 23andMe im Dark Web zum Verkauf angeboten, wobei der Anbieter ausdrücklich darauf hingewiesen haben soll, dass es sich teilweise um Daten aschkenasisch-jüdischer und chinesischer Nutzer handele. In einer Pressemitteilung wenige Tage später räumte 23andMe zwar das Credential Stuffing ein, behauptete aber, dass es keinen Sicherheitsvorfall gegeben habe – für Bonta eine grobe Täuschung der Betroffenen, ebenso die allgemeine Aussage von 23andMe, dass Kundendaten dank starker Sicherheitsvorkehrungen in sicheren Händen seien. Zudem mahnte 23andMe bei seinen Kunden starke Passwörter an und riet zur Zwei-Faktor-Authentifizierung. Die Klage interpretiert das dagegen als ein Abwälzen der Schuld des Unternehmens auf seine Kunden.

23andMe soll an Cyberkriminelle gezahlt haben

Brisant ist, was im Oktober 2023 offenbar hinter den Kulissen geschah. Während 23andMe den Vorfall öffentlich runterspielte, soll das Unternehmen in Kontakt mit dem Angreifer gewesen sein und ihm Geld gezahlt haben. Unter anderem dafür, dass schädliche Informationen bezüglich des Datenlecks, welche Informationen über Sicherheitslücken bei 23andMe preisgeben, aus dem Internet verschwinden. Welcher Geldbetrag konkret geflossen sein soll, ist nicht angegeben.

Die beschriebenen Praktiken von 23andMe sieht Bonta nicht im Einklang mit diversen kalifornischen Datenschutzgesetzen, darunter der Genetic Information Privacy Act, der Reasonable Data Security Law und der California Consumer Privacy Act. Es ist bereits die zweite große Klage, die Kalifornien seit dem fatalen Leak gegen 23andMe anstrengt. Auch den Verkauf des Unternehmens an eine von Ex-CEO und Mitgründerin Anne Wojcicki geführte NGO versuchte der Bundesstaat noch im vorigen Jahr zu verhindern.

Der Skandal um den Datenleak bescherte 23andMe einen massiven Einbruch der Kundennachfrage, wodurch das Unternehmen zunächst bankrott ging. Es folgte eine Auktion nach US-Insolvenzrecht, bei der sich zunächst der US-Pharmakonzern Regeneron Pharmaceuticals als Meistbietender hervortat, auch Wojcickis NGO „TTAM Research Institute“ (“Twentythree and Me Research Institute“) stach er mit seinem Gebot von 256 Millionen US-Dollar zunächst aus. Doch im letzten Moment meldete sich Wojcicki mit einem neuen Gebot zurück und erhielt letztlich für 305 Millionen Dollar den Zuschlag. Kalifornien hatte gegen den Verkauf geklagt, weil er aus Sicht des US-Bundesstaats einen Verstoß gegen seinen Genetic Information Privacy Act darstellt, der einen Weiterverkauf genetischer Informationen verbietet.

Das Tech-Portal The Register hat versucht, eine Stellungnahme von 23andMe zu erhalten. Hinter 23andMe verbirgt sich heute ein Geflecht von Chrome Holding und TTAM Research. Während die Chrome Holding, gegen die auch die Klage läuft, nicht für eine Stellungnahme verfügbar war, distanzierte sich das TTAM Research Institute von den Vorwürfen in der Klage. Es handele sich um eine neu gegründete NGO, die nichts mit den Praktiken der alten, kommerziell geführten (und bankrott gegangenen) 23andMe-Organisation zu tun habe. Aber die Person, die an der Spitze beider Organisationen stand und steht, ist dieselbe: Anne Wojcicki, ihr Name könnte in diesem Rechtsstreit noch interessant werden.

(nen)