Californië klaagt 23andMe aan wegens gevoelig datalek door credential stuffing

In dit artikel:

De procureur‑generaal van Californië dagvaardt dna‑testbedrijf 23andMe nadat in 2023 via een credential‑stuffingaanval de afstammingsgegevens van ongeveer 6,9 miljoen gebruikers werden buitgemaakt. Aanvallers braken eerst in op zo’n 14.000 accounts door gestolen inloggegevens op andere sites te hergebruiken; via de optionele DNA Relatives‑functie kregen ze toegang tot genetische data, adressen, foto's, etnische afkomst, familierelaties en gezondheidsinformatie.

Volgens de aanklacht had 23andMe, juist omdat het zeer gevoelige persoonlijke en genetische informatie beheert, betere beschermingsmaatregelen moeten implementeren (zoals tegen geautomatiseerde loginpogingen) en had het bedrijf gebruikers niet volledig en niet juist geïnformeerd over het lek. De procureur stelt dat 23andMe de verantwoordelijkheid onterecht bij slachtoffers legde en meerdere Californische wetten heeft geschonden. Eerder leidde het incident al tot schikkingen en boetes; het bedrijf vroeg faillissement aan en belandde daarna onder toezicht van een onderzoeksinstituut.