Commerciële dna-databank 23andMe reset alle wachtwoorden na datalek

De Amerikaanse dna-dienst 23andMe heeft de wachtwoorden van alle gebruikers gereset nadat hackers eerder deze maand data van bepaalde gebruikers wisten te achterhalen. Het bedrijf gaat gebruikers individueel benaderen als die zijn getroffen, maar veel is nog onduidelijk.

23AndMe schrijft in een blogpost dat het een wachtwoordreset forceert voor alle gebruikers. Het bedrijf raadt gebruikers ook aan multifactorauthenticatie in te schakelen op hun accounts, maar dat laatste forceert de dienst vooralsnog niet.

De dienst erkende eerder vorige week al dat er een datalek had plaatsgevonden, maar veel daarover is nog onduidelijk. Het werd eerder bekend dat 'bepaalde 23andMe-klantinformatie' was gestolen. Het ging om informatie die gebruikers zelf eerder aan het DNA Relatives-programma hebben gekoppeld. 23andMe is een dienst waarbij gebruikers dna-materiaal kunnen insturen en laten analyseren. Een van de meestgebruikte functies van de dienst is DNA Relatives, waarbij dna kan worden gematcht met potentiële familieleden.

23andMe is nog vaag over wat er precies rondom het datalek heeft plaatsgevonden. Het bedrijf zegt dat de data is gestolen vanuit minimaal een van de accounts. Aanvallers zouden daar via credential stuffing binnen zijn gekomen, met e-mailadressen en wachtwoorden die hetzelfde waren als bij eerdere datalekken. Hoeveel accounts er uiteindelijk echter zijn gehackt en welke informatie daarbij is buitgemaakt, zegt het bedrijf niet. 23andMe zegt dat het contact opneemt met gebruikers als het ontdekt dat daarvan data is gestolen.

Eerder deze maand verschenen er op hackersforum BreachForums samples van data van 23andMe-gebruikers. Die stonden voor een tot tien dollar per profiel te koop. 23andMe bevestigde vorige week vrijdag al dat er inderdaad data was gestolen, maar deed toen alleen nog enkele aanbevelingen aan gebruikers zonder daar zelf actie op te ondernemen. Volgens het bedrijf was dat niet nodig, omdat het datalek niet kwam door een gat bij het bedrijf zelf.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 10-10-2023 16:59 36

10-10-2023 • 16:59

36

Lees meer

Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit
Ex-ceo koopt 23andMe terug: dna-database onder toezicht non-profit Nieuws van 16 juni 2025
Commercieel dna-testbedrijf 23andMe wil faillissementsbescherming voor verkoop
Commercieel dna-testbedrijf 23andMe wil faillissementsbescherming voor verkoop Nieuws van 24 maart 2025
23andMe wil omvangrijk datalek uit 2023 schikken voor 30 miljoen dollar
23andMe wil omvangrijk datalek uit 2023 schikken voor 30 miljoen dollar Nieuws van 15 september 2024
VK en Canada starten onderzoek naar dna-databank 23andMe na datalek vorig jaar
VK en Canada starten onderzoek naar dna-databank 23andMe na datalek vorig jaar Nieuws van 10 juni 2024
FBI neemt website en Telegram-kanaal BreachForums in beslag
FBI neemt website en Telegram-kanaal BreachForums in beslag Nieuws van 16 mei 2024
Zscaler haalt testomgeving offline maar ontkent slachtoffer van hack te zijn
Zscaler haalt testomgeving offline maar ontkent slachtoffer van hack te zijn Nieuws van 10 mei 2024
23andMe: hackers hadden maandenlang toegang tot gegevens klanten
23andMe: hackers hadden maandenlang toegang tot gegevens klanten Nieuws van 28 januari 2024
23andMe: hackers kregen toegang tot gegevens van 14.000 klanten
23andMe: hackers kregen toegang tot gegevens van 14.000 klanten Nieuws van 2 december 2023
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer
Vue Cinemas licht klanten in over datalek bankrekeningnummers deze zomer Nieuws van 16 oktober 2023
Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten
Vliegmaatschappij Air Europa erkent datalek van creditcardgegevens klanten Nieuws van 11 oktober 2023
Opsporingsdiensten mogen commerciële DNA-databanken gebruiken voor onderzoek
Opsporingsdiensten mogen commerciële DNA-databanken gebruiken voor onderzoek Nieuws van 28 september 2023
Dna-analysebedrijf geeft ontwikkelaars niet langer toegang tot ruwe data
Dna-analysebedrijf geeft ontwikkelaars niet langer toegang tot ruwe data Nieuws van 24 augustus 2018
Bedrijf komt met 'app store' voor kopen van persoonlijke info via dna-analyse
Bedrijf komt met 'app store' voor kopen van persoonlijke info via dna-analyse Nieuws van 24 juli 2017
Meer producten en artikelen
Beveiliging en antivirus Datalek Dna

Reacties (36)

-Moderatie-faq
36
36
11
1
0
23
Wijzig sortering
Get!em 10 oktober 2023 17:17
Commerciële dna-databank 23andMe reset alle DNA na datalek
Ow wacht…..
Waarom zou je die gegevens daar willen laten staan.
Uitslag bekend, dna gegevens wissen.

[Reactie gewijzigd door Get!em op 23 juli 2024 00:02]

xFeverr @Get!em10 oktober 2023 17:25
Er zijn diensten waar je je DNA kunt laten staan voor het geval er een voor jou nog onbekend familielid ook gebruik maakt van die dienst. Zo kunnen families weer herenigd worden.

Ik weet niet of 23andMe dat ook aanbiedt, maar dat zou een use case kunnen zijn.
TheVivaldi @xFeverr10 oktober 2023 17:29
Dat ook, en opsporingsdiensten die dna zoeken.
Buurtjes60 @TheVivaldi11 oktober 2023 16:31
Als je door opsporingsdienst en gezocht wordt, dan laat je jouw DNA sowieso niet onderzoeken.
DamirB @xFeverr10 oktober 2023 19:42
Hier niet het geval, Linus van LTT zijn moeder is slachtoffer (en daardoor hij ook) maar ze geven je niet eens de optie
MrMonkE @DamirB11 oktober 2023 09:43
Waarschijnlijk ga je al akkoord met dat feit als je je laat testen. Ik zou het ook niet laten wissen door klanten. Al dat mooie DNA dat je hebt ge-anlyseerd.

Linus had zelf ook een test kit.. maar die had hij laten vallen. ;)
(Of hij had hem per ongeluk doorverkocht, kies er een)

Een stukje hieronder door: @Oon
"Ze hebben een privacy policy waarin ze expliciet aangeven dat je je gegevens nooit bij ze kunt weghalen. Je naam en e-mailadres worden gewist, de rest niet. "

Ja, zijn mensen gewoon mee akkoord gegaan dus dikke pech. O-)

[Reactie gewijzigd door MrMonkE op 23 juli 2024 00:02]

Byron010 @Get!em10 oktober 2023 17:26
Zo te zien is het artikel aangepast want dit staat er niet meer in, alleen dat de wachtwoorden gereset zijn.
Get!em @Byron01010 oktober 2023 17:54
Stond er ook niet in, maar ik las het eerst zo.
Wachtwoorden resetten is leuk, maar je DNA verander je niet even zomaar als dat gelekt is.
DinX @Get!em10 oktober 2023 19:56
De reden is omdat er continu nieuw research is op het DNA.
In de praktijk is dat eigenlijk pure statistiek.

Wanneer ze bijvoorbeeld in de media melden 'gen ontdekt dat ...' dan komt het er meestal gewoon op neer dat ze vanuit pure statistiek (en diepgaander onderzoek) gezien hebben dat er procentueel meer mensen zijn die dat specifieke gen hebben voor een bepaalde aandoening.

Zo heb je ook sites die het een beetje zelf doen (puur commercieel tussen hun klanten). Genomelink biedt zo abonnementen aan waarbij ze verschillende traits, eigenschappen, risico op,... "bepalen" (met een hele grote korrel zout) door bij al die 'traits' te vragen of dat voor jou ook geldt.
Denk aan bijvoorbeeld 'gevoeligheid voor cafeïne'. Ze vragen dan aan iedereen of die personen wel of niet reageren op cafeïne (schaal van 1 tot 5 bijvoorbeeld).
Gezien ze van alle abonnees de DNA data hebben gooien ze die zaken door een hoop rekenkracht om te zien of er gemeenschappelijke genen zijn tussen iedereen die 'ja' gezegd hebben.
Correlatie is daarmee nog geen causatie natuurlijk.

Daarvoor blijft die data dus op hun servers.

Hetzelfde geldt bij sites als 23andme, ancestry,...
Die hun hele bestaan gaat rond het terugvinden van familie en dergelijke. Dat werkt alleen maar als ze continu de beschikking hebben tot die DNA data.

(Bron: ik heb zelf een 30x test online staan)
Macron @Get!em10 oktober 2023 17:33
Goed idee. En er dan maar op vertrouwen dat dat ook inderdaad gewist wordt.
Triblade_8472 @Get!em10 oktober 2023 19:23
Het is een Amerikaans bedrijf. Ik vraag je af of ze überhaupt echt iets weggooien. En zo wel of ze dit ook netjes uit de backups verwijderen.
Blokker_1999
@Triblade_847210 oktober 2023 19:30
Uit backups verwijderen gebeurt bijna nergens. Niet alleen is er geen enkele wettelijke verplichting, zelfs niet onder de AVG, het is vaak ook onpraktisch omdat backups een read-only systeem horen te gebruiken, eenmaal gemaakt moeten ze onveranderlijk zijn.
Triblade_8472 @Blokker_199910 oktober 2023 19:51
Als je nou niet weet waar je het over hebt, zeg dan niks alsjeblieft. Verspreid geen leugens/nepnieuws.

Er is wél degelijk een wettelijke verplichting, met een uitzondering in specifieke gevallen. En zelfs dan zijn er bijzondere eisen.

Staat luid en duidelijk bij de AP:
Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om gegevens te verwijderen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.
Bron: https://www.autoriteitper...erwijderen-in-de-praktijk

Het feit dat je niet weet hoe, betekend niet dat het mag. (ignorance is no excuse)
genosis @Triblade_847210 oktober 2023 20:42
Alleen of het gebeurt is een 2e. Op papier klopt het vaak allemaal perfect ja.
Triblade_8472 @genosis10 oktober 2023 20:56
Ik denk serieus dat bijna niemand weet dat het wettelijk moet.

Wel vraag ik mij af of de rechter met dat excuus in zee gaat mocht er ooit een rechtzaak over komen.

Ik snap de AP wel en ben het eens met het idee, maar het is nu een catch22.

Wat we zouden kunnen doen is ons idee van een backup aanpassen. We zouden een AVG-verantwoord backup systeem moeten ontwikkelen in Europa. Dit is een gigantische klus, maar ook een gigantische kans voor degene die het voor elkaar krijgt.

Ik weet niet hoe, maar als iemand een systeem kan uitvinden waar selectief data uit verwijderd kan worden zonder vatbaar te zijn voor hackers, virussen oid, heb je goud.

Geen idee of het kan, maar de eerste die het uitvindt is rijk.
CivLord @Triblade_847211 oktober 2023 12:48
Een backup die achteraf is te wijzigen zal niet 100% veiligheid kunnen bieden. Er is altijd wel een manier te vinden om een hacker of malware hetzelfde te laten doen als een bevoegde gebruiker.

Je kan wel denken aan een systeem waarbij je opslaat welke personen verzocht hebben om de gegevens te wissen, waarna bij het terughalen van een backup de gegevens van die personen niet worden teruggehaald.
benme @Triblade_847211 oktober 2023 17:51
Dat klopt. En de grap ervan is dat daarmee opslag van persoonsgegevns vermeerderd wordt, want je moet bijhouden wat bij een restore verwijderd moet worden. En die gegeven moeten ook weer beveiligd. Terwijl het datasubject juist om verwijdering had gevraagd
Triblade_8472 @benme11 oktober 2023 18:17
Jij snapt 'm!

Het is een AVG-loop. Waar je wettelijk aan moet voldoen. 8)7
Frame164 @Triblade_847210 oktober 2023 19:45
Als je gsat rommelen met backup files is de kans erg groot dat ze onbruikbaar zijn geworden als je een keer een restore moet doen. Zeker als het snapshots zijn.
Triblade_8472 @Frame16410 oktober 2023 19:52
Je kan altijd een kopie van je Backup maken zonder specifieke gegevens.

Het is een drama zonder eind, maar niet onmogelijk.

Met een beetje geluk kan je dat op nieuwere media doen en zijn ze zelfs noganger houdbaar! ;)
Oon @Get!em10 oktober 2023 20:16
Ze hebben een privacy policy waarin ze expliciet aangeven dat je je gegevens nooit bij ze kunt weghalen. Je naam en e-mailadres worden gewist, de rest niet.
The Zep Man
10 oktober 2023 17:27
Volgens het bedrijf was dat niet nodig, omdat het datalek niet kwam door een gat bij het bedrijf zelf.
Als je in 2023 MFA niet afdwingt dan mag je spreken van een gat bij het bedrijf zelf. Dat valt ondertussen onder nalatigheid, want je weet dat gebruikers wachtwoorden herbruiken en dat credential stuffing wordt toegepast.

Het argument "maar het is de verantwoording van de gebruiker" is ongeldig als je bijvoorbeeld eisen stelt aan de complexiteit van een wachtwoord.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:02]

Strebor @The Zep Man10 oktober 2023 17:36
AL zetten ze meerdere MFA verplichtingen op die dienst, dat gaat jouw data in jouw profiel daar niet beschermen als hackers via een zijdeur binnenkomen. En reken maar dat de hackers die bewezen toegang te hebben, al een volledige database dump hebben gemaakt. Kortom, daartegen helpt MFA niet. Dat is alleen om de juiste mensen door de bewaakte voordeur te laten lopen.

Ik snap echt niet dat je je DNA af staat, zeker niet aan een commerciële partij.

[Reactie gewijzigd door Strebor op 23 juli 2024 00:02]

The Zep Man
@Strebor10 oktober 2023 17:37
AL zetten ze meerdere MFA verplichtingen op die dienst, dat gaat jouw data in jouw profiel daar niet beschermen als hackers via een zijdeur binnenkomen.
Aanvallers zouden daar via credential stuffing binnen zijn gekomen, met e-mailadressen en wachtwoorden die hetzelfde waren als bij eerdere datalekken.
Ze kwamen niet via een zijdeur binnen, maar via de voordeur. MFA had hier bescherming tegen kunnen bieden.
Ik snap echt niet dat je je DNA af staat, zeker niet aan een commerciële partij.
Dat spreekt voor zich. ;)

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:02]

Strebor @The Zep Man10 oktober 2023 17:39
Ze kwamen niet via een zijdeur binnen, maar via de voordeur. MFA had hier bescherming tegen kunnen bieden.
AH, fair point.
Tintel @Strebor10 oktober 2023 17:48
Ik snap echt niet dat je je DNA af staat, zeker niet aan een commerciële partij.
Afstaan aan de overheid is eigenlijk erger....die kan er veel meer mee en kan net zo goed last hebben van datalekken.

Het stomme is: we laten continue DNA achter - alleen niet in combinatie met veel andere persoons-gegevens. Dus wat is de oplossing? DNA achterlaten kan nog als de link met de eigenaar heel beperkt is. Maar zelfs een telefoonnumer is niet meer 'veilig'.
Strebor @Tintel10 oktober 2023 18:12
Bij commerciële partijen heb je een keuze. Jij kiest om van hun diensten gebruik te maken. Bij overheden denk ik dat die keuze minder is. Bijvoorbeeld in de toekomst om een paspoort te krijgen of visum aan te vragen. Of als je een strafbaar feit pleegt en berecht wordt.

Verder helemaal met je eens.
devilkin @Strebor10 oktober 2023 19:58
Biometrics gegevens zijn verschillend van DNA.

Bij de overheid gaat het om biometrie.
mjl @The Zep Man10 oktober 2023 17:57
Als je soms ziet wat voor partijen geen MFA aanbieden… DisneyPlus is er ook zo een, kan me voorstellen dat er genoeg accounts zijn op dat platform met eerder gelekte credentials.
CivLord @The Zep Man11 oktober 2023 12:55
Als je in 2023 MFA afdwingt blokkeer je je dienst voor een zeer groot aantal mensen voor wie het óf te moeilijk, óf te veel moeite is.
Nog steeds en dat zal ook niet snel veranderen.
Cyb 10 oktober 2023 18:15
Op BleepingComputer en Wired staan meer details.
Het ging om o.a. data van Ashkenazi joden en Chinezen, maar ook:
Entries for technologists Mark Zuckerberg, Elon Musk, and Sergey Brin are all visible in the sample data, including “Profile ID,” “Account ID,” name, sex, birth year, current location, and fields known as “ydna” and “ndna.” It is unclear if the data for these entries is legitimate or was inserted. For example, Musk and Brin appear to have the same profile and account IDs in the leak.
Maar je moet qua privacy wel gek zijn als je in deze huidige tijd bij zo'n bedrijf je echte gegevens gaat gebruiken.
moonlander @Cyb10 oktober 2023 18:57
Genoeg die het doen omdat ze het leuk vinden. Dat zijn dan ook personen die totaal geen idee hebben wat de gevaren zijn
Pompi 10 oktober 2023 17:48
Is er door de redactie gewacht met dit bericht op de blogpost van 23andme? Want 3 a 4 dagen geleden was dit al bekend gemaakt door de Washington Post. Aangezien er zeer waarschijnlijk ook genoeg Nederlandse gebruikers van 23andme zijn, had ik persoonlijk daar niet op gewacht en dus dit weekend al er over bericht aan de hand van het Wash Po artikel zoals bijvoorbeeld The Verge op zondag al deed.
AuteurTijsZonderH Nieuwscoördinator @Pompi10 oktober 2023 21:02
We hadden het destijds over het hoofd gezien, en ik vond het raar om nog later een bericht te publiceren met iets dat al op zo veel meer plekken stond. Het is dan best raar als we nu op dinsdagavond iets brengen dat al sinds donderdag bekend is. Maar nu ze een wachtwoordreset forceren vond ik dat wel een nieuwswaardige aanleiding om het alsnog te kunnen schrijven.
Pompi @TijsZonderH10 oktober 2023 21:48
Ah, nee dan snap ik het. Is inderdaad belangrijk nieuws, met mogelijke privacy impact. Ik heb toen juist niks ingediend via de tiplijn, omdat ik dacht dat jullie er al van op de hoogte waren. Volgende keer ga ik het dan wel doen, want is erg menselijk om iets in weekend te missen.
genosis 10 oktober 2023 20:39
Raar, net ingelogd maar ik kan gewoon mijn oude wachtwoord nog gebruiken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq