23andMe deckte den Datenschutzverstoß im vergangenen Oktober auf, bestätigte die Gesamtauswirkung jedoch erst im Dezember. Kunden, die die DNA-Verwandtschaftsfunktion nutzen, könnten durch den Verstoß Informationen wie Namen, Geburtsjahre und Abstammungsinformationen preisgegeben haben. Damals führte 23andMe den Hack auf Credential Stuffing zurück, eine Taktik, bei der die Anmeldung bei Konten mit recycelten Anmeldeinformationen erfolgt, die bei früheren Sicherheitsverletzungen aufgedeckt wurden.
Dieser Verstoß war ein schwerer Schlag für das ohnehin schon angeschlagene Unternehmen. Als der Aktienkurs von 23andMe weiter abstürzte, versuchte Anne Wojcicki, CEO von 23andMe, Anfang des Jahres, das Unternehmen privat zu nehmen, doch der Sonderausschuss lehnte das Angebot letzten Monat ab. In dem Vergleich werden Bedenken hinsichtlich der Finanzen des Unternehmens angeführt und es heißt: „Jedes angefochtene Urteil, dessen Betrag deutlich über dem Vergleich liegt, ist wahrscheinlich uneinbringlich.“ In einer Stellungnahme dazu Der RandKatie Watson, eine Sprecherin von 23andMe, sagte, das Unternehmen erwarte, dass die Cyberversicherung 25 Millionen US-Dollar des Vergleichs abdecken werde:
Wir haben eine Vergleichsvereinbarung über eine globale Barzahlung von 30 Millionen US-Dollar unterzeichnet, um alle US-Ansprüche im Zusammenhang mit dem Credential-Stuffing-Sicherheitsvorfall im Jahr 2023 zu klären. Die Anwälte der Kläger reichten beim Gericht einen Antrag auf vorläufige Genehmigung dieser Vergleichsvereinbarung ein. Es wird erwartet, dass etwa 25 Millionen US-Dollar des Vergleichs und der damit verbundenen Rechtskosten durch eine Cyberversicherung gedeckt werden. Wir sind weiterhin davon überzeugt, dass diese Einigung im besten Interesse der 23andMe-Kunden ist, und freuen uns auf den Abschluss der Vereinbarung.
Der vorgeschlagene Vergleich muss noch vom Richter genehmigt werden.