Menurut BleepingComputer, kebocoran awal terdiri dari “1 juta baris data orang Ashkenazi." Pada 4 Oktober, data ditawarkan untuk dijual dalam jumlah besar, dengan penambahan 100, 1.000, 10.000, atau 100.000 profil. Skala serangannya masih belum diketahui, namun cakupan dampaknya kemungkinan besar diperburuk oleh fitur 'DNA Relatives' 23andMe.
“Kerabat diidentifikasi dengan membandingkan DNA Anda dengan DNA anggota 23andMe lainnya yang berpartisipasi dalam fitur DNA Relatives,” kata perusahaan tersebut.
Setelah mengakses sejumlah profil yang tidak diketahui jumlahnya melalui pengisian kredensial, pelaku ancaman di balik pelanggaran ini rupanya menghapus hasil 'DNA Relatives' untuk profil tersebut, sehingga menjaring data yang jauh lebih sensitif.