Nachdem ein Hacker diesen Monat in einem Online-Forum angekündigt hatte, dass er Millionen von Daten von 23andMe gestohlen habe, erklärte das Unternehmen, dass es mit Strafverfolgungsbehörden und Forensikern zusammenarbeite, um den Fall zu untersuchen.

In den neuen E-Mails, von denen Reuters eine Kopie erhalten hat, teilte 23andMe seinen Kunden mit, dass ein oder mehrere Konten, die über die Funktion "DNA-Verwandte" mit ihren Konten verbunden sind, verletzt wurden. Diese Funktion ermöglicht es Nutzern auf der ganzen Welt, ihre persönlichen Daten miteinander zu verbinden und auszutauschen. Dazu gehören unter anderem Beziehungskennzeichnungen, Berichte über die Abstammung und übereinstimmende DNA-Segmente, Standort, Geburtsjahr und Familiennamen.

"Es gab einen unbefugten Zugriff auf ein oder mehrere 23andMe-Konten, die über DNA Relatives mit Ihnen verbunden waren", teilte das Unternehmen seinen Kunden am Dienstag in einer E-Mail mit. "Infolgedessen wurden die DNA Relatives-Profilinformationen, die Sie in dieser Funktion angegeben haben, dem Bedrohungsakteur zugänglich gemacht.

23andMe bietet DNA-Tests an, mit denen Nutzer mehr über ihre Abstammung erfahren können. Seit Bekanntwerden des Hacks haben viele Kunden ihre Sorge geäußert, dass ihre ethnische Zugehörigkeit und andere sensible Informationen gegen sie verwendet werden könnten, wenn sie bekannt werden. Ein US-Gesetzgeber forderte letzte Woche mehr Details über die undichten Stellen.

Mehrere Nutzer in den sozialen Medien sagten am Dienstag, sie hätten die E-Mail erhalten, aber es war unklar, wie viele Kunden informiert worden waren. Die Sprecherin von 23andMe, Katie Watson, lehnte einen Kommentar mit Verweis auf die laufende Untersuchung ab und verwies auf den Blog, in dem das Unternehmen am 20. Oktober mitteilte, dass es zum Schutz der Privatsphäre der Nutzer vorübergehend Funktionen in "DNA Relatives" deaktiviert habe.

Zuvor hatte das Unternehmen erklärt, dass Hacker möglicherweise Zugangsdaten von anderen Websites verwendet haben, um in 23andMe-Konten einzudringen - eine Technik, die als "Credential Stuffing" bekannt ist. Es riet den Nutzern, ihre Anmeldedaten zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren, um eine Kompromittierung zu verhindern.