Dans une lettre de notification de violation de données déposée auprès des régulateurs ce week-end, 23andMe a révélé que les pirates ont commencé à s’introduire dans les comptes des clients en avril 2023 et ont continué pendant la majeure partie du mois de septembre.
En d’autres termes, pendant environ cinq mois, 23andMe n’a pas détecté une série de cyberattaques dans lesquelles des pirates informatiques tentaient – et réussissaient souvent – de forcer l’accès aux comptes des clients, selon un dossier légalement requis par 23andMe envoyé au procureur général de Californie.
Quelques mois après que les pirates ont commencé à cibler les clients de 23andMe, la société a révélé que les pirates avaient volé les données d’ascendance et génétiques de 6,9 millions d’utilisateurs, soit environ la moitié de ses clients.
Selon la société, 23andMe a pris conscience de la violation en octobre lorsque des pirates ont annoncé les données volées dans des articles publiés sur le subreddit non officiel 23andMe et séparément sur un forum de piratage notoire. 23andMe n’a pas non plus remarqué que les pirates avaient annoncé les données volées sur un autre forum de piratage quelques mois plus tôt en août, comme l’a rapporté TechCrunch.
Contactez-nous
Avez-vous plus d’informations sur ce hack ? Nous aimerions recevoir de vos nouvelles. À partir d’un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.
Comme 23andMe l’a admis plus tard, les pirates ont pu accéder aux comptes d’environ 14 000 clients en forçant brutalement des comptes qui utilisaient des mots de passe déjà rendus publics et associés à des adresses e-mail provenant d’autres violations. En accédant à ces comptes, les pirates ont volé les données de 6,9 millions de clients via la fonctionnalité DNA Relatives, qui permet aux clients de partager automatiquement certaines de leurs données avec d’autres personnes que 23andMe classe comme proches. Les données volées comprenaient le nom de la personne, son année de naissance, les étiquettes de relation, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et l’emplacement auto-déclaré.
Les porte-parole de 23andMe n’ont pas immédiatement répondu à la demande de commentaires de TechCrunch, qui comprenait des questions sur la façon dont la violation n’avait pas été détectée pendant si longtemps.
Après que les clients ont été informés qu’ils étaient victimes de la violation, plusieurs victimes ont intenté un recours collectif contre 23andMe aux États-Unis et au Canada, même si la société a tenté de rendre plus difficile pour les victimes de se regrouper dans des actions en justice en modifiant ses conditions de service. . Les avocats spécialisés dans les violations de données ont qualifié les modifications des conditions de service de « cyniques », « égoïstes » et de « tentative désespérée » de protéger 23andMe contre ses propres clients.
Dans l’une des poursuites, 23andMe a répondu en accusant les utilisateurs d’avoir prétendument utilisé des mots de passe réutilisés.
« Les utilisateurs ont recyclé par négligence et n’ont pas mis à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe », a affirmé 23andMe dans une lettre adressée aux victimes de la violation. « L’incident n’est pas le résultat d’un prétendu manquement de 23andMe à maintenir des mesures de sécurité raisonnables. »