Het genetisch testbedrijf 23andMe heeft een schikking getroffen van 18 miljoen dollar met 42 Amerikaanse procureurs-generaal vanwege ernstige tekortkomingen in de cybersecurity die leidden tot een datalek waarbij de gegevens van 6,9 miljoen mensen, waaronder genetische afkomstgegevens, werden blootgesteld.

De overeenkomst verplicht het 23andMe Research Institute, een non-profitorganisatie opgericht in mei 2025 door CEO Anne Wojcicki, tot het implementeren van nieuwe maatregelen voor gegevensbescherming. Dit instituut nam de bezittingen van 23andMe over, inclusief de genetische data. De nieuwe eisen omvatten het uitvoeren van risicoanalyses en het aanstellen van een speciale raad die toezicht houdt op de databeveiliging. Daarnaast behouden klanten het recht om hun genetische monsters te laten vernietigen en hun persoonlijke gegevens permanent te laten verwijderen.

23andMe ontdekte het datalek uit oktober 2023 pas maanden later. Een deel van de gestolen data werd op het dark web gepubliceerd. Volgens een persbericht van de procureur-generaal van New York ontkende het bedrijf aanvankelijk dat er een datalek had plaatsgevonden en gaf later de schuld aan klanten vanwege hun accountconfiguraties en wachtwoordgebruik.

De 42 procureurs-generaal startten kort na het lek een onderzoek en ontdekten meerdere tekortkomingen in de cybersecurity van 23andMe. Zo ontbraken er adequate beschermingsmaatregelen tegen hacks met gestolen credentials, waren er onvoldoende preventieve maatregelen tegen inbraken, werd er geen logging of monitoring uitgevoerd om datalekken te detecteren en werden bekende kwetsbaarheden niet verholpen. Ook werden ongebruikelijke inlogpatronen niet onderzocht en werden nieuwe ontwerpkenmerken niet getest.

In maart 2025 vroeg 23andMe faillissementsbescherming aan. In juni keurde een rechtbank in Missouri een schikking goed waarbij slachtoffers van het datalek een deel van een fonds van 47 miljoen dollar ontvangen. In juli 2025 betaalde het door Wojcicki geleide 23andMe Research Institute, toen nog bekend als TTAM Research Institute, 305 miljoen dollar voor de activa van 23andMe. Deze overname omvatte ook genetische data van klanten die niet hadden verzocht hun gegevens te vernietigen, zoals vermeld in een persbericht uit 2023. Het instituut heeft toegezegd het privacybeleid van 23andMe te volgen, dat het delen van data met werkgevers, verzekeraars, openbare databases en wetshandhavingsinstanties verbiedt zonder gerechtelijk bevel, dagvaarding of huiszoekingsbevel. Het blijft de praktijk voortzetten om geanonimiseerde klantgegevens te delen en verkopen voor biomedisch onderzoek.