Dna-testbedrijf 23andMe wil een gevoelig datalek, waarbij de afstammingsgegevens van 6,9 miljoen gebruikers werden gestolen, voor 30 miljoen dollar schikken. Getroffen gebruikers krijgen een vergoeding en kunnen drie jaar kosteloos aan een monitoringsprogramma deelnemen.

Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Nadat de aanvallers toegang tot de accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature.

Tevens werden ook gezondheidsrapporten over gebruikers buitgemaakt, die waren gebaseerd op het verwerken van hun genetische informatie. Het gaat onder andere om rapporten over erfelijke aandoeningen. Tevens hebben de aanvallers 'raw genotype data' in handen kregen, alsmede woonplaats, postcode en geboortejaar als gebruikers die zelf hadden gedeeld.

Na het datalek werd in de VS een massaclaim tegen 23andMe aangespannen. Volgens de klagers had het bedrijf hun gegevens niet goed beschermd. Ook zouden gebruikers niet goed zijn geïnformeerd over het datalek. Het voorlopige schikkingsvoorstel, moet nog door de rechter worden goedgekeurd.

Alles bij de bron; Security