Los atacantes obtuvieron acceso al reciclar credenciales de inicio de sesión obtenidas de incidentes de seguridad anteriores en la web, entre ellos una violación previa de MyHeritage, una plataforma de genealogía que anteriormente se había asociado con 23andMe, logrando finalmente ingresar a aproximadamente 14,000 cuentas mediante esta técnica, conocida como 'credential stuffing'. Lo que hizo esto especialmente notable, según la denuncia, es que 23andMe no solo sabía del incidente de MyHeritage, sino que había dirigido activamente a sus propios clientes a crear cuentas en esa plataforma, sin tomar medidas para detectar o prevenir que esas mismas credenciales se reutilizaran para iniciar sesión en 23andMe.