Le service de profilage génétique 23andMe a ouvert une enquête après que les données privées des utilisateurs ont été supprimées de son site Web.
La confirmation de vendredi intervient cinq jours après qu’une entité inconnue s’est rendue sur un forum criminel en ligne pour annoncer la vente d’informations privées à des fins criminelles. des millions d’utilisateurs de 23andMe. Les messages du forum affirmaient que les données volées comprenaient une estimation de l’origine, un phénotype, des informations sur la santé, des photos et des données d’identification. Les messages affirmaient que le PDG de 23andMe était au courant que l’entreprise avait été « piratée » deux mois plus tôt et n’avait jamais révélé l’incident. Dans une déclaration envoyée par courrier électronique après la mise en ligne de ce message, un représentant de 23andMe a déclaré que « rien de ce qu’ils ont publié publiquement n’indique qu’ils détiennent réellement des « informations sur la santé ». Ce sont toutes des affirmations non fondées à ce stade. »
Les responsables de 23andMe ont confirmé vendredi que les données privées de certains de ses utilisateurs étaient en fait à vendre. La cause de la fuite, selon les responsables, est le grattage de données, une technique qui consiste essentiellement à réassembler de grandes quantités de données en extrayant systématiquement de plus petites quantités d’informations disponibles pour les utilisateurs individuels d’un service. Les attaquants ont obtenu un accès non autorisé aux comptes individuels 23andMe, qui avaient tous été configurés par l’utilisateur pour activer une fonctionnalité relative à l’ADN qui leur permet de trouver des proches potentiels.
Dans un communiqué, les responsables ont écrit :
Nous n’avons aucune indication pour le moment qu’il y ait eu un incident de sécurité des données au sein de nos systèmes. Les résultats préliminaires de cette enquête suggèrent plutôt que les identifiants de connexion utilisés dans ces tentatives d’accès pourraient avoir été collectés par un acteur malveillant à partir de données divulguées lors d’incidents impliquant d’autres plateformes en ligne où les utilisateurs ont recyclé leurs identifiants de connexion.
Nous pensons que l’auteur de la menace peut alors, en violation de nos conditions d’utilisation, accéder aux comptes 23andme.com sans autorisation et obtenir des informations à partir de ces comptes. Nous prenons cette question au sérieux et poursuivrons notre enquête pour confirmer ces résultats préliminaires.
La fonctionnalité relative à l’ADN permet aux utilisateurs qui choisissent d’afficher les informations de base du profil d’autres personnes, ce qui permet également que leurs profils soient visibles aux participants de DNA Relative, a déclaré un porte-parole. Si l’ADN d’un utilisateur inscrit correspond à un autre, chacun peut accéder aux informations d’ascendance de l’autre.
Le message du forum sur la criminalité affirmait que les attaquants avaient obtenu « 13 millions de données ». Les responsables de 23andMe n’ont fourni aucun détail sur les informations divulguées disponibles en ligne, le nombre d’utilisateurs auxquels elles appartiennent ou l’endroit où elles sont mises à disposition. Vendredi, The Record et Bleeping Computer ont rapporté qu’une base de données divulguée contenait des informations sur un million d’utilisateurs d’origine ashkénaze, qui avaient tous opté pour le service ADN relatif. The Record indique qu’une deuxième base de données comprenait 300 000 utilisateurs d’origine chinoise qui s’étaient également inscrits.
Les données comprenaient les numéros d’identification de profil et de compte, les noms d’affichage, le sexe, l’année de naissance, les haplogroupes maternels et paternels, les résultats de l’héritage ancestral et des données indiquant si chaque utilisateur a accepté ou non les données de santé de 23andme. Certaines de ces données ne sont incluses que lorsque les utilisateurs choisissent de les partager.
The Record a également signalé que le site Web 23andMe permet aux personnes connaissant l’identifiant de profil d’un utilisateur de voir la photo de profil, le nom, l’année de naissance et le lieu de cet utilisateur. Le représentant de 23andMe a déclaré que « toute personne possédant un compte 23andMe qui a choisi de participer à DNA Relatives peut consulter les informations de profil de base de tout autre compte qui a également explicitement choisi de rendre son profil visible aux autres participants de DNA Relative ».
Il est désormais clair que le stockage d’informations génétiques en ligne comporte des risques. En 2018, MyHeritage a révélé que les adresses e-mail et les mots de passe hachés de plus de 92 millions d’utilisateurs avaient été volés suite à une violation de son réseau survenue sept mois plus tôt. La même année, les responsables de l’application des lois en Californie ont déclaré avoir utilisé un autre site de généalogie pour retrouver un suspect longtemps recherché dans une série de meurtres effroyables survenus 40 ans plus tôt. Les enquêteurs ont comparé l’ADN laissé sur une scène de crime avec celui du suspect. Le suspect n’avait jamais soumis d’échantillon au service connu sous le nom de GEDMatch. Au lieu de cela, la correspondance a été établie avec un utilisateur de GEDMatch lié au suspect.
Bien qu’il y ait des avantages à stocker des informations génétiques en ligne afin que les gens puissent retracer leur héritage et retrouver leurs proches, il existe des menaces évidentes pour la vie privée. Même si un utilisateur choisit un mot de passe fort et utilise une authentification à deux facteurs comme 23andMe le recommande depuis longtemps, ses données peuvent toujours être balayées lors d’incidents de grattage comme celui récemment confirmé. Le seul moyen sûr de le protéger contre le vol en ligne est de ne pas l’y stocker en premier lieu.
Cet article a été mis à jour pour inclure les détails fournis par 23andMe.