Bij een hack van een Amerikaanse commerciële DNA-databank zijn de gegevens van 6,9 miljoen mensen gelekt. Dat heeft het bedrijf, 23andMe, bevestigd aan The Verge. Eerder was sprake van veel minder gedupeerden.

Bij 23andMe kunnen mensen DNA laten testen op verwantschap of erfelijke ziektes. De testen van het bedrijf zijn ook buiten de VS beschikbaar, onder meer in Nederland. Onbekend is of er ook hier mensen zijn gedupeerd.

De hackers sloegen begin oktober toe, maar nu pas is duidelijk op welke schaal er gegevens zijn gestolen. Het bedrijf heeft bevestigd dat data van gebruikers de afgelopen maanden te koop zijn aangeboden op het dark web.

Gezondheidsinformatie

23andMe gaf enkele dagen geleden meer informatie in een brief aan de Amerikaanse beurswaakhond SEC, maar toen was dus nog sprake van veel minder gestolen data.

In de verklaring schrijft 23andMe gaat het om info over de stamboom, maar in sommige gevallen ook om gezondheidsinformatie die gebaseerd is op de DNA-analyse van gebruikers.

Met informatie uit andere hacks - vaak gaat het daarbij bij om hergebruikte wachtwoorden - hadden de daders weten in te loggen op de accounts van 14.000 gebruikers. Dat is zo'n 0,1 procent van het totale klantenbestand van 23andMe.

Wachtwoorden veranderen

Daar hield het echter niet op, blijkt nu. Met die 14.000 accounts konden de aanvallers de 'DNA Relatives'- functie gebruiken, een manier om (verre) familie op te sporen. Op die manier konden ze bij de informatie van miljoenen andere gebruikers komen.

23andMe zegt dat het nog bezig is alle gedupeerden op de hoogte te stellen van het lek. Het bedrijf waarschuwt gebruikers ook hun wachtwoorden te veranderen. Er wordt nu ook verplicht gebruikgemaakt van tweestapsverificatie. Dat was tot nu toe alleen een optie.