تحتوي ملفات تعريف DNAR على تفاصيل حساسة بما في ذلك المعلومات المبلغ عنها ذاتيًا مثل أسماء العرض والمواقع، بالإضافة إلى نسب الحمض النووي المشتركة لمطابقات أقارب الحمض النووي وأسماء العائلة والعلاقات المتوقعة وتقارير السلالة. تحتوي ملفات تعريف شجرة العائلة على أسماء العرض وتسميات العلاقات، بالإضافة إلى معلومات أخرى قد يختار المستخدم إضافتها، بما في ذلك سنة الميلاد والموقع. وعندما تم الكشف عن الاختراق لأول مرة في أكتوبر، قالت الشركة إن تحقيقاتها "توصلت إلى عدم تسريب أي نتائج للاختبارات الجينية".
وفقًا للملف الجديد، فإن البيانات "تضمنت عمومًا معلومات عن السلالة، وبالنسبة لمجموعة فرعية من تلك الحسابات، معلومات متعلقة بالصحة بناءً على علم الوراثة للمستخدم". تم الحصول على كل هذا من خلال هجوم حشو بيانات الاعتماد، حيث استخدم المتسللون معلومات تسجيل الدخول من مواقع ويب أخرى تم اختراقها سابقًا للوصول إلى حسابات هؤلاء المستخدمين على مواقع أخرى. ومن خلال القيام بذلك، يقول الملف: "تمكن ممثل التهديد أيضًا من الوصول إلى عدد كبير من الملفات التي تحتوي على معلومات الملف الشخصي حول أصول المستخدمين الآخرين والتي اختار هؤلاء المستخدمون مشاركتها عند الاشتراك في ميزة DNA Relatives الخاصة بشركة 23andMe ونشر معلومات معينة عبر الإنترنت".
وبعد اكتشاف الاختراق، أصدرت شركة 23andMe تعليمات للمستخدمين المتأثرين بتغيير كلمات المرور الخاصة بهم، ثم قامت لاحقًا بنشر المصادقة الثنائية لجميع عملائها. وفي تحديث آخر يوم الجمعة، قالت شركة 23andMe إنها أكملت التحقيق وتقوم بإخطار كل من تأثر. وكتبت الشركة أيضًا في الملف أنها "تعتقد أنه تم احتواء نشاط ممثل التهديد"، وتعمل على إزالة المعلومات المنشورة علنًا.
تحديث، 2 ديسمبر 2023، الساعة 7:03 مساءً بالتوقيت الشرقي: تم تحديث هذه القصة لتشمل المعلومات التي قدمها المتحدث باسم 23andMe حول نطاق الانتهاك وعدد المشاركين في DNA Relative المتأثرين.
