La violation de données de 23andMe ne cesse de devenir de plus en plus effrayante

9 décembre 2023 Hibou Gourou

La violation de 23andMe qui a eu lieu en octobre s'est avérée bien pire que ce qui avait été initialement annoncé, affectant 6,9 millions de personnes, contre 14 000 utilisateurs initialement prévus.

Les informations volées lors de la violation comprenaient les noms complets des utilisateurs, leurs années de naissance, les étiquettes de relation et les emplacements. Environ 1,4 million d’utilisateurs ont également vu leurs informations de profil Family Tree sur le service compromises. Les pirates pourraient également accéder à des informations génétiques dans la violation, y compris des détails sur les pourcentages d'ADN communs partagés avec des proches, et des détails tels que la correspondance des chromosomes, selon un porte-parole.

Les rapports indiquent que ces données ont déjà été mises en vente sur le marché noir, plusieurs groupes ethniques étant déjà ciblés et des acteurs malveillants vendant les informations d'une seule personne pour 1 à 10 dollars par ensemble de données. Pendant ce temps, le site Web de suivi de l'ascendance semble brouiller les pistes, après avoir rapidement envoyé des mises à jour des conditions de service aux utilisateurs, précisant que toute plainte juridique à ce sujet doit être résolue en dehors des tribunaux. Cela empêcherait les utilisateurs de tenter un recours collectif en tant qu'action principale, à moins qu'ils ne se retirent d'une résolution privée.

Si les utilisateurs souhaitent intenter un recours collectif, ils doivent collectivement se retirer d'un litige privé et peuvent le faire en envoyant un e-mail à l'adresse [email protected] dans les 30 jours suivant la mise à jour, soit le 30 décembre. Ces informations sont détaillées à la fin de la cinquième section de la mise à jour des conditions de service de 23andMe, a noté Gizmodo .

Dans une déclaration à ce sujet, 23andMe a tenté de déplacer encore plus la responsabilité, précisant dans une déclaration que la violation s'était produite parce que des membres réutilisaient les mots de passe d'autres comptes. Cette cyberattaque courante, connue sous le nom de credential stuffing, a permis aux pirates de collecter des mots de passe déjà divulgués pour accéder aux 14 000 comptes initiaux. À partir de là, ils ont pu parcourir une plus grande partie de la base de données de l’entreprise pour voler des informations, selon un porte-parole.

Actuellement, les premières implications de cette violation ne sont pas connues mais elles deviendront certainement apparentes au fil du temps. Les experts ont précisé que même lorsque la collecte de données sur les consommateurs en ligne est légale, il existe un risque de biais implicite pouvant affecter les décisions d'embauche, la sélection d'un appartement, les demandes de crédit et les primes d'assurance. Dans les cas illégaux, le vol d’identité peut se produire.

Notamment, Meta (anciennement Facebook) a réglé un recours collectif de 725 millions de dollars en avril, qui précisait que la plateforme de médias sociaux laissait les données des utilisateurs et de leurs amis exposées à des tiers à des fins lucratives. La poursuite ajoute que Facebook n'a mis en place aucune règle ni protection de la vie privée sur la manière dont les tiers doivent interagir avec les données de ses utilisateurs.

De la même manière, la violation de 23andMe a le potentiel de placer des données génétiques entre de mauvaises mains pour effectuer des déductions sur des individus sur la base d'informations de santé, telles qu'un diagnostic ou des antécédents médicaux familiaux, a déclaré Suzanne Bernstein, chercheuse en droit à l'Electronic Privacy Information Center, à la publication.

Même si les utilisateurs de l'entreprise n'avaient pas une bonne hygiène des mots de passe , d'autres experts notent qu'une organisation de niche telle que 23andMe devrait prendre conscience de sa position du point de vue de la cybersécurité. L'hébergement de données aussi sensibles fait de l'entreprise une cible privilégiée pour les cyberattaques et nécessite des exigences de connexion de sauvegarde, telles que l'authentification à deux facteurs (2FA).