Vendredi, la société de tests génétiques 23andMe a annoncé que des pirates avaient accédé aux données personnelles de 0,1 % de ses clients, soit environ 14 000 individus. La société a également déclaré qu’en accédant à ces comptes, les pirates pouvaient également accéder à « un nombre important de fichiers contenant des informations de profil sur l’ascendance d’autres utilisateurs ». Mais 23andMe n’a pas voulu dire combien « d’autres utilisateurs » ont été touchés par la violation initialement divulguée par la société début octobre.
Il s’avère que de nombreux « autres utilisateurs » ont été victimes de cette violation de données : 6,9 millions de personnes concernées au total.
Dans un e-mail envoyé à TechCrunch samedi soir, la porte-parole de 23andMe, Katie Watson, a confirmé que des pirates ont accédé aux informations personnelles d’environ 5,5 millions de personnes qui ont opté pour la fonctionnalité DNA Relatives de 23andMe, qui permet aux clients de partager automatiquement certaines de leurs données avec d’autres. Les données volées comprenaient le nom de la personne, son année de naissance, les étiquettes de relation, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et l’emplacement auto-déclaré.
23andMe a également confirmé qu’un autre groupe d’environ 1,4 million de personnes ayant opté pour DNA Relatives a également « eu accès aux informations de leur profil d’arbre généalogique », qui incluent les noms d’affichage, les étiquettes de relation, l’année de naissance, l’emplacement auto-déclaré et si l’utilisateur a décidé de partager leurs informations, a déclaré le porte-parole. (23andMe a déclaré une partie de son e-mail comme « en arrière-plan », ce qui nécessite que les deux parties acceptent les conditions à l’avance. TechCrunch imprime la réponse car nous n’avons eu aucune possibilité de rejeter les conditions.)
On ne sait pas non plus pourquoi 23andMe n’a pas partagé ces chiffres dans sa divulgation de vendredi.
Compte tenu des nouveaux chiffres, en réalité, on sait que la violation de données affecte environ la moitié des 14 millions de clients déclarés par 23andMe.
Début octobre, un pirate informatique a affirmé avoir volé les informations ADN des utilisateurs de 23andMe dans un message publié sur un forum de piratage bien connu. Comme preuve de la violation, le pirate informatique a publié les données présumées d’un million d’utilisateurs d’origine juive ashkénaze et de 100 000 utilisateurs chinois, demandant aux acheteurs potentiels entre 1 et 10 dollars pour les données par compte individuel. Deux semaines plus tard, le même hacker a annoncé les enregistrements présumés de quatre millions de personnes supplémentaires sur le même forum de hacking.
TechCrunch a découvert qu’un autre pirate informatique sur un forum de piratage distinct avait déjà annoncé un lot de données client 23andMe prétendument volées deux mois avant la publicité largement rapportée.
Contactez-nous
Avez-vous plus d’informations sur l’incident de 23andMe ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.
Lorsque nous avons analysé les données divulguées vieilles de plusieurs mois, TechCrunch a découvert que certains enregistrements correspondaient à des données génétiques publiées en ligne par des amateurs et des généalogistes. Les deux ensembles d’informations étaient formatés différemment, mais contenaient certaines des mêmes données utilisateur uniques et génériques, ce qui suggère que les données divulguées par le pirate informatique étaient au moins en partie des données client authentiques de 23andMe.
En révélant l’incident en octobre, 23andMe a déclaré que la violation de données avait été causée par la réutilisation des mots de passe par les clients, ce qui a permis aux pirates informatiques de forcer brutalement les comptes des victimes en utilisant des mots de passe publiquement connus et divulgués lors des violations de données d’autres sociétés.
En raison de la façon dont la fonctionnalité DNA Relatives associe les utilisateurs à leurs proches, en piratant un compte individuel, les pirates ont pu voir les données personnelles du titulaire du compte ainsi que de ses proches, ce qui a amplifié le nombre total de victimes de 23andMe. .
En savoir plus sur TechCrunch :