Vrijdag maakte genetisch testbedrijf 23andMe bekend dat hackers rechtstreeks toegang hadden tot de persoonlijke gegevens van 0,1% van zijn klanten, oftewel ongeveer 14.000 mensen. Het bedrijf zei ook dat de hackers door toegang te krijgen tot deze accounts ook toegang konden krijgen tot "een groot aantal bestanden met voorouderlijke profielinformatie van andere gebruikers." Maar 23andMe heeft niet bekendgemaakt hoeveel ‘andere gebruikers’ getroffen zijn door de kwetsbaarheid, die het bedrijf oorspronkelijk begin oktober bekendmaakte. Het blijkt dat er veel ‘andere gebruikers’ het slachtoffer zijn geworden van dit datalek: in totaal zijn 6,9 miljoen mensen getroffen.

23andMe-woordvoerder Katie Watson bevestigde eind zaterdag in een e-mail aan TechCrunch dat hackers toegang hebben gekregen tot de persoonlijke informatie van ongeveer 5,5 miljoen mensen die zich hebben aangemeld voor de DNA-gerelateerde opzoekfunctie van 23andMe, waarmee gebruikers automatisch bepaalde gegevens met anderen kunnen delen. De gestolen gegevens omvatten individuele namen, geboortejaren, relatielabels, het aandeel van het DNA dat met familieleden werd gedeeld, vooroudersrapporten en zelfgerapporteerde locatie.

23andMe bevestigde ook dat "ook toegang werd verkregen tot stamboomprofielinformatie" van een andere groep van ongeveer 1,4 miljoen mensen die zich hadden aangemeld voor DNARelatives, zei de woordvoerder, waaronder namen, relatietags, geboortejaren, zelfgerapporteerde locaties en of de gebruiker besloot hun informatie te delen. (23andMe stelt dat delen van zijn e-mails "achtergrondinformatie" zijn en vereisen dat beide partijen vooraf akkoord gaan met de relevante voorwaarden).

Het was onduidelijk waarom 23andMe de gegevens vrijdag niet openbaar maakte. Rekening houdend met de nieuw toegevoegde gegevens, trof het datalek feitelijk ongeveer de helft van de in totaal 14 miljoen klanten van 23andMe.

Begin oktober postte een hacker op een bekend hackerforum dat hij beweerde de DNA-informatie van 23andMe-gebruikers te hebben gestolen. Als bewijs van de inbreuk gaf de hacker gegevens vrij van naar verluidt 1 miljoen gebruikers van Joodse Asjkenazische afkomst en 100.000 Chinese gebruikers, en vroeg hij potentiële kopers om de gegevens te kopen voor tussen de $ 1 en $ 10 per individueel account. Twee weken later publiceerde dezelfde hacker de vermeende gegevens van nog eens 4 miljoen mensen op hetzelfde hackerforum.

Later plaatste een andere hacker een advertentie voor een partij vermeend gestolen klantgegevens van 23andMe op een ander hackerforum, twee maanden voordat hierover algemeen werd bericht.

Bij het analyseren van gegevens die maanden geleden zijn gelekt, is het niet moeilijk om gegevens te vinden die overeenkomen met genetische gegevens die online zijn geplaatst door amateurs en genealogen. De twee sets informatie hebben verschillende formaten, maar bevatten enkele van dezelfde unieke gebruikers- en algemene gegevens, wat erop wijst dat de door de hackers gelekte gegevens op zijn minst gedeeltelijk echte 23andMe-klantgegevens zijn.

Toen 23andMe het incident in oktober van dit jaar bekendmaakte, zei het dat het datalek werd veroorzaakt doordat klanten wachtwoorden hergebruikten, waardoor hackers wachtwoorden konden gebruiken die aan het licht kwamen bij datalekken van andere bedrijven om de accounts van de slachtoffers bruut te forceren. Omdat de DNARelatives-functie gebruikers koppelt aan hun familieleden, konden hackers, door een persoonlijk account te compromitteren, de persoonlijke gegevens van de accounthouder en hun familieleden zien, waardoor het totale aantal 23andMe-slachtoffers werd vergroot.