En octobre 2023, 23andMe a admis avoir subi une violation de données qui a compromis les informations de ses utilisateurs. Depuis lors, l’entreprise a fait l’objet de plusieurs poursuites judiciaires et, selon Le New York Times, l’un d’eux accuse 23andMe de ne pas avoir informé ses clients qu’ils étaient spécifiquement ciblés en raison de leur héritage chinois et juif ashkénaze. On ne leur a pas non plus dit que les résultats de leurs tests contenant des informations génétiques avaient été compilés dans des listes organisées qui étaient ensuite partagées sur le dark web, ont déclaré les plaignants. 23andMe a récemment publié une copie des lettres envoyées aux clients concernés, et elles ne contenaient aucune référence à l’héritage des utilisateurs.
La plainte a été déposée devant le tribunal fédéral de San Francisco après que la société a révélé que le piratage était passé inaperçu pendant des mois. Apparemment, les pirates ont commencé à accéder aux comptes des clients en utilisant les informations de connexion déjà divulguées sur le Web fin avril 2023 et ont poursuivi leurs activités jusqu’en septembre. Ce n’est qu’en octobre que l’entreprise a finalement découvert les piratages. Le 1er octobre, des pirates ont divulgué les noms, adresses personnelles et dates de naissance d’un million d’utilisateurs d’origine juive ashkénaze sur le forum de piratage de chapeaux noirs BreachForums.
Après que quelqu’un ait répondu au message demandant l’accès à des « comptes chinois », le procès indiquait que l’affiche était liée à un fichier contenant des informations sur 100 000 utilisateurs chinois. L’affiche indiquait également qu’ils avaient accès à 350 000 profils chinois et qu’ils pourraient divulguer plus d’informations s’il y avait suffisamment d’intérêt. En outre, la même affiche serait revenue sur le forum à la mi-octobre pour vendre des données sur les « familles riches au service du sionisme » après l’explosion de l’hôpital arabe Al-Ahli à Gaza.
« Le climat géopolitique et social actuel amplifie les risques » pour les utilisateurs dont les données ont été exposées, selon le procès, puisque les informations divulguées comprenaient leurs noms et adresses. Les plaignants souhaitent que leur cause soit entendue par un jury et réclament des dommages-intérêts compensatoires, punitifs et autres.