23andMe schuift de schuld van het datalek dat in oktober vorig jaar plaatsvond af op de gebruikers van het platform. Het bedrijf meent dat gebruikers nalatig zijn geweest door wachtwoorden te hergebruiken en deze niet te hebben aangepast nadat er in het verleden elders een cybersecurity incident had plaatsgevonden. De advocaat van de aanklagers stelt dat 23andMe haar verantwoordelijkheid niet neemt en de ernst van de gebeurtenissen bagatelliseert.

Dat blijkt uit correspondentie tussen 23andMe en gedupeerden, die is ingezien door TechCrunch.

23andMe was doelwit van een cyberaanval

In oktober 2023 was 23andMe, een Amerikaans bedrijf waar mensen hun DNA kunnen laten testen op verwantschap, het doelwit van een credential stuffing attack. Aanvallers gebruiken wachtwoorden die ze bij een partij hebben buitgemaakt bij andere online dienstverleners om te kijken of ze daarmee kunnen inloggen. Omdat veel internetgebruikers hetzelfde wachtwoord bij andere websites hergebruiken, bestaat er een kans dat iemand met dezelfde inloggegevens toegang kan krijgen tot deze account.

Bij de aanval slaagden hackers erin om toegang te krijgen tot 0,1 procent van alle accounts, wat neerkwam op zo’n 14.000 profielen. Via de gehackte accounts konden de aanvallers DNA Relatives inschakelen, een functie waarmee gebruikers automatisch een deel van hun gegevens delen met verre verwanten. De privégegevens van 6,9 miljoen gebruikers lagen daardoor voor het oprapen, waaronder voor- en achternamen, geboortedata, locatiegegevens, relatiestatus, gezondheids- en stamboomgegevens en informatie die gebruikers vrijwillig hebben gedeeld om in contact te komen met afstammelingen.

23andMe: ‘Gebruikers zijn verantwoordelijk voor datalek’

Meer dan dertig slachtoffers overwegen om een rechtszaak aan te spannen tegen 23andMe. Voordat er ook maar één partij is gehoord over de gebeurtenissen, gaat 23andMe al in de aanval. In een brief aan honderden gebruikers schrijft het bedrijf dat niet 23andMe, maar de gebruikers de oorzaak zijn van het immense datalek.

Klanten recyclen hetzelfde wachtwoord voor meerdere online diensten. Verder hebben ze nagelaten om hun wachtwoord aan te passen als er een beveiligingsincident heeft voorgedaan, die niets met 23andMe te maken heeft. “Daarom was het incident niet het gevolg van nalatigheid aan de kant van 23andMe om redelijke beveiligingsmaatregelen te handhaven”, aldus het bedrijf.

Verder zeggen de advocaten van 23andMe dat de gestolen gegevens niet aangewend kunnen worden om een beroep te doen op een schadevergoeding: het bevatte immers geen Social Security Numbers, identificatienummers van rijbewijzen, of betalings- of andere financiële informatie. Tot slot kozen gebruikers er zelf voor gevoelige informatie met anderen te delen via DNA Relatives.

Na het datalek heeft 23andMe de wachtwoorden van alle klanten gereset en gebruikers verplicht om multifactorauthenticatie (MFA) in te schakelen. Vóór de aanval was dat optioneel.

Advocaat gedupeerden wijst op zorgplicht 23andMe

Hassan Zavareei, een van de advocaten die de gedupeerden vertegenwoordigt in deze zaak, noemt de beschuldiging van 23andMe ‘schaamteloos’. “Met de vinger wijzen is onzinnig. 23andMe wist of had moeten weten dat veel consumenten wachtwoorden hergebruiken en dat 23andMe dus een aantal van de vele beschikbare beveiligingen had moeten implementeren om te beschermen tegen credential stuffing, vooral gezien het feit dat 23andMe persoonlijke identificatiegegevens, gezondheidsinformatie en genetische informatie opslaat op haar platform”, zo zegt de advocaat in een e-mail aan TechCrunch.

Dat er persoonlijke informatie van miljoenen gebruikers is gelekt, komt niet doordat gebruikers hetzelfde wachtwoord voor meerdere diensten hanteren: dat is te wijten aan de feature DNA Relatives. “De poging van 23andMe om zich aan de verantwoordelijkheid te onttrekken door haar klanten de schuld te geven, doet niets af aan het feit dat persoonlijke gegevens van miljoenen consumenten buiten hun schuld om zijn gecompromitteerd”, vertelt Zavareei.