El viernes, la empresa de pruebas genéticas 23andMe anunció que los piratas informáticos accedieron directamente a los datos personales del 0,1% de sus clientes, o unas 14.000 personas. La compañía también dijo que al acceder a estas cuentas, los piratas informáticos también pudieron acceder a "una gran cantidad de archivos que contienen información de perfil ancestral de otros usuarios". Pero 23andMe no reveló cuántos "otros usuarios" se vieron afectados por la vulnerabilidad, que la compañía reveló originalmente a principios de octubre. Resulta que hubo muchos "otros usuarios" que fueron víctimas de esta violación de datos: en total 6,9 millones de personas se vieron afectadas.

La portavoz de 23andMe, Katie Watson, confirmó en un correo electrónico a TechCrunch el sábado por la noche que los piratas informáticos obtuvieron acceso a la información personal de alrededor de 5,5 millones de personas que optaron por la función de búsqueda relacionada con el ADN de 23andMe, que permite a los usuarios compartir automáticamente algunos de sus datos con otros. Los datos robados incluían nombres individuales, años de nacimiento, etiquetas de relación, proporción de ADN compartido con familiares, informes de ascendencia y ubicación autoinformada.

23andMe también confirmó que "también se accedió a la información del perfil del árbol genealógico" de otro grupo de aproximadamente 1,4 millones de personas que optaron por DNARelatives, dijo el portavoz, que incluía nombres, etiquetas de relación, años de nacimiento, ubicaciones autoinformadas y si el usuario decidió compartir su información. (23andMe afirma que partes de sus correos electrónicos son "información general" y requieren que ambas partes acepten los términos relevantes por adelantado).

No estaba claro por qué 23andMe no reveló los datos el viernes. Teniendo en cuenta los datos recién agregados, la violación de datos en realidad afectó a aproximadamente la mitad de los 14 millones de clientes totales de 23andMe.

A principios de octubre, un hacker publicó en un conocido foro de hackers afirmando haber robado la información de ADN de los usuarios de 23andMe. Como prueba de la violación, el pirata informático publicó datos supuestamente de 1 millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos, y pidió a los compradores potenciales que compraran los datos por entre 1 y 10 dólares por cuenta individual. Dos semanas después, el mismo hacker publicó los supuestos registros de otros 4 millones de personas en el mismo foro de hackers.

Más tarde, otro hacker publicó un anuncio de un lote de datos de clientes de 23andMe supuestamente robados en otro foro de hackers, dos meses antes de que se informara ampliamente.

Al analizar datos filtrados hace meses, no es difícil encontrar registros que coincidan con datos genéticos publicados en línea por aficionados y genealogistas. Los dos conjuntos de información están en formatos diferentes, pero contienen algunos de los mismos datos generales y de usuario únicos, lo que sugiere que los datos filtrados por los piratas informáticos son, al menos parcialmente, datos reales de clientes de 23andMe.

Cuando 23andMe reveló el incidente en octubre de este año, dijo que la violación de datos fue causada por la reutilización de contraseñas por parte de los clientes, lo que permitió a los piratas informáticos usar contraseñas expuestas en violaciones de datos de otras compañías para forzar las cuentas de las víctimas. Debido a que la función DNARelatives relaciona a los usuarios con sus familiares, al comprometer una cuenta personal, los piratas informáticos podrían ver los datos personales del titular de la cuenta y sus familiares, amplificando el número total de víctimas de 23andMe.