### Kalifornien geht gegen 23andMe vor Der kalifornische Generalstaatsanwalt **Rob Bonta** hat rechtliche Schritte gegen **23andMe**, das jetzt unter dem Namen **Chrome Holding Co.** firmiert, eingeleitet. Er begründet dies mit der angeblichen Unfähigkeit des Unternehmens, Kundendaten angemessen zu schützen, was im Jahr 2023 zu einem erheblichen Datenleck führte. Von dem Vorfall waren die sensiblen Informationen von rund 7 Millionen Nutzern betroffen, darunter 855.541 Einwohner Kaliforniens. ### Details und Auswirkungen des Lecks Der Vorfall wurde im Oktober 2023 bekannt, als Bedrohungsakteure begannen, gestohlene **23andMe**-Datensätze zum Verkauf anzubieten und Datenbeispiele zu leaken, um die Echtheit der gestohlenen Informationen zu verifizieren. Das Unternehmen bestätigte das Leck und führte es auf einen Credential-Stuffing-Angriff zurück, bei dem Konten mit schwachen Passwörtern ausgenutzt wurden. Die Angreifer hatten es zunächst auf Nutzer der Funktion 'DNA Relatives' abgesehen, bevor sie Zugang zu einer breiteren Palette von Konten erhielten. Insgesamt legte das Leck die genetischen Daten, Gesundheitsprädispositionen, Abstammungsdetails, biologischen Verwandten und DNA-Übereinstimmungen von rund 6,9 Millionen Nutzern offen. ### Vorwürfe der Fahrlässigkeit und irreführender Aussagen Die Klage besagt, dass **23andMe** es versäumt hat, angemessene Sicherheitsmaßnahmen zur Verhinderung von Credential-Stuffing-Angriffen zu implementieren und Gelegenheiten zur Erkennung des Eindringens verpasst hat. Weiterhin wird behauptet, dass das Unternehmen einen Programmierfehler in der Funktion 'DNA Relatives' nicht erkannt hat, der zu der weitreichenden Datenoffenlegung beigetragen hat. Darüber hinaus wirft der Generalstaatsanwalt **23andMe** vor, vor dem Leck irreführende Aussagen über seine Sicherheitsstandards gemacht und die Schwere des Vorfalls danach heruntergespielt zu haben. Das Unternehmen hatte zunächst angedeutet, dass die offengelegten Daten größtenteils öffentlich seien, und Nutzern die Wiederverwendung von Passwörtern vorgeworfen, während es jegliche Verletzung eigener Systeme bestritt. ### Gesetzesverstöße und mögliche Strafen Der Generalstaatsanwalt argumentiert, dass die Handlungen von **23andMe** gegen mehrere kalifornische Gesetze verstoßen haben, darunter der California Genetic Information Privacy Act, der California Reasonable Data Security Law, der California Consumer Privacy Act (**CCPA**), das Gesetz gegen irreführende Werbung und das Gesetz gegen unlauteren Wettbewerb. Die Klage fordert eine Unterlassungsverfügung zur Verhinderung weiterer Verstöße und gesetzliche Strafen in Höhe von 1.000 bis 7.500 US-Dollar pro Verstoß. ### Insolvenz und laufende Ermittlungen Diese Klage folgt auf frühere rechtliche Anfechtungen und Ermittlungen, darunter Geldstrafen in Millionenhöhe, die zu **23andMe**s Insolvenzantrag beigetragen haben. Das Büro des Generalstaatsanwalts hat klargestellt, dass das Insolvenzverfahren und der geplante Verkauf der genetischen Daten von Kaliforniern von dieser rechtlichen Maßnahme getrennt sind.