23andMe est sur le point de régler un recours collectif intenté contre la société à la suite d’une violation de données qui a compromis les informations de 6,9 millions d’utilisateurs. Selon le dossier de règlement préliminaire, la société de tests ADN a accepté de payer 30 millions de dollars aux clients concernés, ainsi que de procéder à des analyses informatiques annuelles et à des audits de cybersécurité pendant trois ans. Un site Web sera créé pour informer les personnes éligibles à une partie du fonds de règlement et pour faciliter les paiements. Les utilisateurs concernés recevront également un lien où ils pourront supprimer toutes leurs informations du service, et ils pourront s’inscrire gratuitement à un programme de trois ans Privacy & Medical Shield + Genetic Monitoring. Un juge doit encore approuver ces conditions.
En octobre 2023, la société a admis que les informations de profil DNA Relatives d’environ 5,5 millions de clients et les informations de profil Family Tree de 1,4 million de participants DNA Relatives avaient été divulguées. Elle a ensuite révélé dans un dossier juridique que les acteurs malveillants ont commencé à s’introduire dans les comptes clients fin avril 2023 et qu’ils ont eu accès à ses systèmes jusqu’en septembre de la même année. Elle a déclaré que les pirates ont utilisé une technique appelée « credential stuffing », qui utilise des identifiants de connexion précédemment compromis pour accéder aux comptes clients.
Cette violation a donné lieu à plusieurs recours collectifs intentés contre la société, dont un accusant 23andMe de ne pas avoir informé les plaignants qu’ils étaient spécifiquement ciblés en raison de leur héritage juif chinois et ashkénaze. Dans l’accord de règlement [PDF] Pour le procès consolidé, 23andMe a noté qu’elle « nie les réclamations et allégations énoncées dans la plainte » et qu’elle « nie avoir omis de protéger correctement les informations personnelles de ses consommateurs et utilisateurs ».
Selon Reuters23andMe décrit sa situation financière comme « extrêmement incertaine ». Dans son rapport financier pour l’exercice 2024, elle a révélé avoir réalisé un chiffre d’affaires total de 220 millions de dollars, en baisse de 27 % par rapport aux 299 millions de dollars de l’année précédente. Une grande partie de l’argent du règlement proviendra toutefois de l’assurance cybernétique, dont la société prévoit de couvrir 25 millions de dollars sur les 30 millions de dollars au total.