23andMe maakte het datalek afgelopen oktober bekend, maar bevestigde pas in december de totale impact. Bij gebruikers die de functie DNA-verwanten gebruiken, is mogelijk informatie zoals namen, geboortejaren en afkomstgegevens openbaar geworden door de inbreuk. Destijds schreef 23andMe de hack toe aan credential stuffing, een tactiek waarbij wordt ingelogd op accounts met behulp van gerecyclede logins die bij eerdere beveiligingsinbreuken waren ontdekt.
De inbreuk betekende een grote klap voor een bedrijf dat al in moeilijkheden verkeerde. Terwijl de aandelenkoers van 23andMe bleef dalen, probeerde Anne Wojcicki, CEO van 23andMe, eerder dit jaar het bedrijf van de beurs te halen, maar een speciale commissie wees het bod vorige maand af. De schikking citeert zorgen over de financiën van het bedrijf en stelt: “Elk oordeel dat substantieel groter is dan de schikking, zal waarschijnlijk oninbaar zijn.” In een verklaring voor De rand23andMe-woordvoerster Katie Watson zei dat het bedrijf verwacht dat een cyberverzekering de schikking van $ 25 miljoen zal dekken:
We zijn een schikkingsovereenkomst aangegaan voor een totale contante betaling van $30 miljoen om alle Amerikaanse claims met betrekking tot het beveiligingsincident in 2023 af te wikkelen. De advocaten van eisers hebben bij de rechtbank een verzoek ingediend tot voorlopige goedkeuring van deze schikkingsovereenkomst. Ongeveer 25 miljoen dollar van de schikking en de daarmee samenhangende juridische kosten zullen naar verwachting worden gedekt door een cyberverzekering. We blijven geloven dat deze schikking in het beste belang is van de klanten van 23andMe en kijken ernaar uit om de overeenkomst af te ronden.
De voorgestelde schikking moet nog door een rechter worden goedgekeurd.