SecBoard
Zurück zur Übersicht

23andMe to pay $18 million in new genetics data breach settlement

BleepingComputer·
Originalartikel lesen bei BleepingComputer

23andMe zahlt 18 Millionen Dollar, um Klagen von 43 Generalstaatsanwälten beizulegen, da das Unternehmen Kundendaten nicht ausreichend geschützt hat. Betroffen sind Kunden, deren genetische Informationen bei einem Datenleck kompromittiert wurden. Nutzer sollten wachsam sein und ihre Datenschutzeinstellungen überprüfen.

Kurzfassung

23andMe zahlt 18 Millionen Dollar zur Beilegung von Klagen von 43 Generalstaatsanwälten wegen eines Datenlecks. Das Unternehmen wurde für das Versäumnis, Kundendaten ausreichend zu schützen, zur Rechenschaft gezogen. Genetische Informationen von Kunden wurden bei diesem Vorfall kompromittiert.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Kunden von 23andMe, deren genetische Informationen bei einem Datenleck kompromittiert wurden. Die im Artikel genannte Branche ist Energie, aber der Vorfall betrifft direkt 23andMe und deren Kunden.

Warum relevant

Dieser Vorfall unterstreicht die Notwendigkeit für Organisationen, sensible Kundendaten, insbesondere genetische Informationen, robust zu schützen. Ein Versäumnis kann zu erheblichen finanziellen Strafen und Reputationsschäden führen.

Realistisches Worst Case

Der schlimmste Fall ist die Kompromittierung weiterer sensibler Daten, die über die genetischen Informationen hinausgehen, und die Nutzung dieser Daten für gezielte Angriffe oder Identitätsdiebstahl, was zu weiteren rechtlichen Schritten und finanziellen Verlusten führen kann.

Handlungsempfehlung

Organisationen sollten ihre Datenschutzrichtlinien und -kontrollen überprüfen und sicherstellen, dass sie den aktuellen Best Practices entsprechen, insbesondere im Umgang mit hochsensiblen Daten. Kunden sollten ihre Datenschutzeinstellungen überprüfen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre Richtlinien und Verfahren zur Datenspeicherung und zum Datenschutz, insbesondere für sensible Kundendaten.
  • Führen Sie regelmäßige Audits und Penetrationstests Ihrer Datenspeichersysteme durch, um Schwachstellen zu identifizieren.
  • Stellen Sie sicher, dass alle Mitarbeiter im Umgang mit sensiblen Daten geschult sind und die Bedeutung des Datenschutzes verstehen.
Offene Punkte
  • Die genaue Art des Datenlecks (z.B. ob es sich um eine Schwachstelle in der Software, einen Konfigurationsfehler oder einen Insider-Angriff handelte) ist im Artikel nicht spezifiziert.
  • Die spezifischen MITRE ATT&CK Techniken, die von den Angreifern verwendet wurden, sind im Artikel nicht spezifiziert.
  • Die genaue Anzahl der betroffenen Kunden ist im Artikel nicht spezifiziert.
  • Die geografische Reichweite der betroffenen Kunden ist im Artikel nicht spezifiziert.
  • Die genaue Dauer, über die die Daten exponiert waren, ist im Artikel nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?
Themen
Security