Confronté à plus de 30 poursuites judiciaires de la part des victimes de sa violation massive de données, 23andMe rejette désormais la faute sur les victimes elles-mêmes pour tenter de s’exonérer de toute responsabilité, selon une lettre envoyée à un groupe de victimes consultée par TechCrunch.
« Plutôt que de reconnaître son rôle dans ce désastre en matière de sécurité des données, 23andMe a apparemment décidé de laisser ses clients de côté tout en minimisant la gravité de ces événements », a déclaré Hassan Zavareei, l’un des avocats représentant les victimes qui ont reçu la lettre de 23andMe. TechCrunch dans un e-mail.
En décembre, 23andMe a admis que des pirates avaient volé les données génétiques et ascendantes de 6,9 millions d’utilisateurs, soit près de la moitié de tous ses clients.
La violation de données a commencé avec l’accès des pirates informatiques à seulement 14 000 comptes d’utilisateurs environ. Les pirates ont pénétré dans cette première série de victimes en forçant brutalement des comptes avec des mots de passe connus pour être associés aux clients ciblés, une technique connue sous le nom de credential stuffing.
Cependant, à partir de ces 14 000 victimes initiales, les pirates ont pu accéder aux données personnelles des 6,9 millions autres victimes parce qu’elles avaient opté pour la fonctionnalité ADN Relatives de 23andMe. Cette fonctionnalité facultative permet aux clients de partager automatiquement certaines de leurs données avec des personnes considérées comme leurs proches sur la plateforme.
En d’autres termes, en piratant seulement 14 000 comptes de clients, les pirates ont ensuite récupéré les données personnelles de 6,9 millions de clients supplémentaires dont les comptes n’avaient pas été directement piratés.
Mais dans une lettre envoyée à un groupe de centaines d’utilisateurs de 23andMe qui poursuivent maintenant l’entreprise, 23andMe a déclaré que « les utilisateurs ont recyclé par négligence et n’ont pas mis à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui n’ont aucun rapport avec 23andMe ».
« Par conséquent, l’incident n’est pas le résultat d’un prétendu manquement de 23andMe à maintenir des mesures de sécurité raisonnables », indique la lettre.
Zavareei a déclaré que 23andMe blâme « sans vergogne » les victimes de la violation de données.
«Cela n’a aucun sens de pointer du doigt. 23andMe savait ou aurait dû savoir que de nombreux consommateurs utilisent des mots de passe recyclés et que 23andMe aurait donc dû mettre en œuvre certaines des nombreuses mesures de protection disponibles pour se protéger contre le credential stuffing – d’autant plus que 23andMe stocke des informations d’identification personnelle, des informations de santé et des informations génétiques sur sa plateforme, « , a déclaré Zavareei dans un e-mail.
« La violation a touché des millions de consommateurs dont les données ont été exposées via la fonctionnalité DNA Relatives sur la plateforme 23andMe, et non parce qu’ils ont utilisé des mots de passe recyclés. Sur ces millions, seuls quelques milliers de comptes ont été compromis en raison du credential stuffing. La tentative de 23andMe de se soustraire à ses responsabilités en rejetant la faute sur ses clients ne fait rien pour ces millions de consommateurs dont les données ont été compromises sans aucune faute de leur part », a déclaré Zavareei.
Contactez-nous
Avez-vous plus d’informations sur l’incident de 23andMe ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.
En réponse à la lettre de 23andMe, Dante Termohs, un client de 23andMe qui a été touché par la violation de données, a déclaré à TechCrunch qu’il trouvait « consternant que 23andMe tente de se cacher des conséquences au lieu d’aider ses clients ».
Les avocats de 23andMe ont fait valoir que les données volées ne peuvent pas être utilisées pour infliger des dommages pécuniaires aux victimes.
« Les informations potentiellement consultées ne peuvent être utilisées à des fins nuisibles. Comme expliqué dans l’article de blog du 6 octobre 2023, les informations de profil qui ont pu être consultées concernaient la fonctionnalité DNA Relatives, qu’un client crée et choisit de partager avec d’autres utilisateurs sur la plateforme 23andMe. Ces informations ne seraient disponibles que si les plaignants choisissaient expressément de partager ces informations avec d’autres utilisateurs via la fonctionnalité DNA Relatives. De plus, les informations que l’acteur non autorisé a potentiellement obtenues sur les plaignants n’auraient pas pu être utilisées pour causer un préjudice pécuniaire (elles n’incluaient pas leur numéro de sécurité sociale, leur numéro de permis de conduire ou toute information de paiement ou financière) », indique la lettre.
23andMe et l’un de ses avocats n’ont pas répondu à la demande de commentaires de TechCrunch.
Après avoir divulgué la violation, 23andMe a réinitialisé tous les mots de passe des clients, puis a demandé à tous les clients d’utiliser l’authentification multifacteur, qui n’était que facultative avant la violation.
Dans le but d’anticiper les inévitables recours collectifs et les demandes d’arbitrage de masse, 23andMe a modifié ses conditions d’utilisation pour rendre plus difficile le regroupement des victimes lors du dépôt d’une plainte contre l’entreprise. Des avocats expérimentés dans la représentation des victimes de violations de données ont déclaré à TechCrunch que les changements étaient « cyniques », « égoïstes » et « une tentative désespérée » de se protéger et de dissuader les clients de s’en prendre à l’entreprise.
De toute évidence, les changements n’ont pas mis fin à ce qui est aujourd’hui une vague de recours collectifs.