23andMe steht kurz vor der Beilegung einer Sammelklage, die gegen das Unternehmen wegen eines Datenlecks eingereicht wurde, bei dem die Informationen von 6,9 Millionen Nutzern kompromittiert wurden. Laut dem vorläufigen Vergleichsantrag hat sich das DNA-Testunternehmen bereit erklärt, betroffenen Kunden 30 Millionen Dollar zu zahlen und drei Jahre lang jährliche Computerscans und Cybersicherheitsprüfungen durchzuführen. Es wird eine Website eingerichtet, um Personen zu benachrichtigen, die Anspruch auf einen Teil des Vergleichsfonds haben, und um Zahlungen zu erleichtern. Betroffene Nutzer erhalten außerdem einen Link, über den sie alle ihre Informationen aus dem Dienst löschen können, und sie können sich kostenlos für ein dreijähriges Programm „Privacy & Medical Shield + Genetic Monitoring“ anmelden. Ein Richter muss diese Bedingungen noch genehmigen.
Im Oktober 2023 gab das Unternehmen zu, dass die Profilinformationen von DNA Relatives von rund 5,5 Millionen Kunden und die Profilinformationen von Family Tree von 1,4 Millionen DNA Relatives-Teilnehmern geleakt worden waren. Später gab es in einer Klageschrift bekannt, dass die Betrüger Ende April 2023 damit begannen, in Kundenkonten einzudringen, und dass sie bis September desselben Jahres Zugriff auf die Systeme hatten. Es hieß, die Hacker hätten eine Technik namens Credential Stuffing verwendet, bei der zuvor kompromittierte Anmeldeinformationen verwendet werden, um auf Kundenkonten zuzugreifen.
Der Verstoß führte zu mehreren Sammelklagen gegen das Unternehmen, darunter eine, in der 23andMe beschuldigt wurde, die Kläger nicht darüber informiert zu haben, dass sie speziell aufgrund ihrer chinesischen und aschkenasisch-jüdischen Abstammung ins Visier genommen wurden. Vergleichsvereinbarung (PDF) zur konsolidierten Klage stellte 23andMe fest, dass es „die in der Beschwerde dargelegten Ansprüche und Behauptungen bestreitet“ und dass es „bestreitet, die persönlichen Daten seiner Verbraucher und Benutzer nicht ausreichend geschützt zu haben“.
Entsprechend Reutersbeschreibt 23andMe seine finanzielle Lage als „extrem unsicher“. In seiner Finanzbericht für das Geschäftsjahr 2024 gab das Unternehmen bekannt, dass es einen Gesamtumsatz von 220 Millionen Dollar erwirtschaftet hat, was einem Rückgang von 27 Prozent gegenüber dem Vorjahreswert von 299 Millionen Dollar entspricht. Ein großer Teil des Vergleichsgeldes wird jedoch aus der Cyber-Versicherung stammen, von der das Unternehmen erwartet, dass sie 25 Millionen Dollar des Gesamtbetrags von 30 Millionen Dollar abdeckt.
