Fin 2023, la société de tests génétiques 23andMe a admis que les données de ses clients avaient été divulguées en ligne. Un représentant de l’entreprise nous a dit à l’époque que les acteurs malveillants avaient pu accéder aux informations du profil DNA Relatives d’environ 5,5 millions de clients et aux informations du profil de l’arbre généalogique de 1,4 million de participants à DNA Relative. Aujourd’hui, l’entreprise a révélé plus de détails sur l’incident dans un dossier judiciaire, dans lequel elle indique que les pirates ont commencé à s’introduire dans les comptes clients fin avril 2023. Les activités des acteurs malveillants ont duré des mois et ont duré jusqu’en septembre 2023 avant que l’entreprise ne finisse par le faire. découvert la faille de sécurité.
Le dossier de 23andMe contient les lettres envoyées aux clients touchés par l’incident. Dans les lettres, la société expliquait que les attaquants avaient utilisé une technique appelée credential stuffing, qui consistait à utiliser des informations de connexion précédemment compromises pour accéder aux comptes clients via son site Web. La société n’a rien remarqué d’anormal jusqu’à ce qu’un utilisateur ait publié un échantillon des données volées sur le subreddit 23andMe en octobre. Comme TechCrunch Remarques, les pirates avaient déjà annoncé ce vol de données sur un forum de hackers quelques mois auparavant, en août, mais 23andMe n’a pas eu vent de ce message. Les informations volées comprenaient les noms des clients, leurs dates de naissance, leur ascendance et des données liées à la santé.
23andMe a conseillé aux utilisateurs concernés de modifier leurs mots de passe après avoir divulgué la violation de données. Mais avant d’envoyer des lettres aux clients, l’entreprise a modifié le libellé de ses conditions de service, ce qui aurait rendu plus difficile pour les personnes touchées par l’incident d’unir leurs forces et de poursuivre légalement l’entreprise.