La société de tests génétiques 23andMe a annoncé vendredi que des pirates informatiques avaient accédé à environ 14 000 comptes clients lors de la récente violation de données de l’entreprise.
Dans un nouveau dossier auprès de la Securities and Exchange Commission des États-Unis publié vendredi, la société a déclaré que, sur la base de son enquête sur l’incident, elle avait déterminé que les pirates avaient accédé à 0,1 % de sa clientèle. Selon le dernier rapport annuel sur les résultats de l’entreprise, 23andMe compte « plus de 14 millions de clients dans le monde », ce qui signifie que 0,1 % équivaut à environ 14 000.
Mais la société a également déclaré qu’en accédant à ces comptes, les pirates ont également pu accéder à « un nombre important de fichiers contenant des informations de profil sur l’ascendance d’autres utilisateurs que ces utilisateurs ont choisi de partager en optant pour la fonctionnalité DNA Relatives de 23andMe ».
La société n’a pas précisé quel était ce « nombre important » de fichiers, ni combien de ces « autres utilisateurs » ont été concernés.
23andMe n’a pas immédiatement répondu à une demande de commentaires, qui comprenait des questions sur ces chiffres.
Début octobre, 23andMe a révélé un incident au cours duquel des pirates informatiques avaient volé les données de certains utilisateurs en utilisant une technique courante connue sous le nom de « credential stuffing », par laquelle les cybercriminels piratent le compte d’une victime en utilisant un mot de passe connu, peut-être divulgué en raison d’une violation de données sur un autre ordinateur. service.
Les dégâts ne se sont toutefois pas limités aux clients dont les comptes ont été consultés. 23andMe permet aux utilisateurs d’opter pour une fonctionnalité appelée DNA Relatives. Si un utilisateur opte pour cette fonctionnalité, 23andMe partage certaines informations de cet utilisateur avec d’autres. Cela signifie qu’en accédant au compte d’une victime, les pirates ont également pu voir les données personnelles des personnes connectées à cette victime initiale.
23andMe a déclaré dans le dossier que pour les 14 000 utilisateurs initiaux, les données volées « incluaient généralement des informations sur l’ascendance et, pour un sous-ensemble de ces comptes, des informations relatives à la santé basées sur la génétique de l’utilisateur ». Pour l’autre sous-ensemble d’utilisateurs, 23andMe a seulement déclaré que les pirates avaient volé des « informations de profil » puis publié « certaines informations » non spécifiées en ligne.
TechCrunch a analysé les ensembles publiés de données volées en les comparant aux documents généalogiques publics connus, y compris aux sites Web publiés par des amateurs et des généalogistes. Bien que les ensembles de données aient été formatés différemment, ils contenaient certaines des mêmes informations utilisateur et génétiques uniques qui correspondaient aux documents généalogiques publiés en ligne des années plus tôt.
Le propriétaire d’un site Web de généalogie, pour lequel certaines informations de ses proches ont été exposées lors de la violation de données de 23andMe, a déclaré à TechCrunch qu’environ 5 000 parents ont été découverts via 23andMe, et a déclaré que nos « corrélations pourraient en tenir compte ».
La nouvelle de la violation de données a fait surface en ligne en octobre lorsque des pirates ont publié les données présumées d’un million d’utilisateurs d’origine juive ashkénaze et de 100 000 utilisateurs chinois sur un forum de piratage bien connu. Environ deux semaines plus tard, le même pirate informatique qui avait annoncé les premières données utilisateur volées a annoncé les prétendus enregistrements de quatre millions de personnes supplémentaires. Le pirate informatique essayait de vendre les données des victimes individuelles pour 1 à 10 dollars.
TechCrunch a découvert qu’un autre pirate informatique sur un autre forum de piratage avait annoncé encore plus de données d’utilisateurs prétendument volées deux mois avant la publicité initialement rapportée par les médias en octobre. Dans cette première publicité, le pirate informatique affirmait avoir volé 300 téraoctets de données utilisateur de 23andMe et demandait 50 millions de dollars pour vendre l’intégralité de la base de données, soit entre 1 000 et 10 000 dollars pour un sous-ensemble de données.
En réponse à la violation de données, le 10 octobre, 23andMe a forcé les utilisateurs à réinitialiser et modifier leurs mots de passe et les a encouragés à activer l’authentification multifacteur. Et le 6 novembre, la société a demandé à tous les utilisateurs d’utiliser une vérification en deux étapes, selon le nouveau dossier.
Après la violation de 23andMe, d’autres sociétés de tests ADN, Ancestry et MyHeritage, ont commencé à rendre obligatoire l’authentification à deux facteurs.