La société de biotechnologie, connue pour ses kits de tests ADN, a confirmé que ses données utilisateurs circulent sur des forums de hackers. La société a déclaré que la fuite était due à une attaque de type credential stuffing.
Une attaque par credential-stuffing implique des informations utilisateur déjà compromises (noms d’utilisateur et mots de passe, par exemple) provenant d’une organisation, qu’un pirate informatique obtient et tente de réutiliser avec une deuxième organisation – dans ce cas, 23andMe. En raison de la nature du credential stuffing, il ne semble pas qu’il s’agisse d’une violation des systèmes internes de l’entreprise. Au contraire, les comptes ont été fragmentés. Les auteurs de cette attaque semblent avoir obtenu des informations assez sensibles à partir des comptes compromis (résultats de tests génétiques, photos, noms complets et localisation géographique, entre autres).
La fuite initiale comprenait « 1 million de lignes de données sur le peuple ashkénaze », selon BipOrdinateur. Le 4 octobre, les données étaient proposées à la vente en gros, par tranches de 100, 1 000, 10 000 ou 100 000 profils. L’ampleur de l’attaque est encore inconnue, mais la portée de son impact a probablement été exacerbée par la fonctionnalité « DNA Relatives » de 23andMe. « Les proches sont identifiés en comparant votre ADN avec celui des autres membres de 23andMe qui participent à la fonctionnalité DNA Relatives », précise la société. Après avoir accédé à un nombre inconnu de profils via le credential-stuffing, l’acteur malveillant à l’origine de cette violation a apparemment récupéré les résultats « DNA Relatives » pour ces profils, récupérant ainsi des données beaucoup plus sensibles. Selon la même page FAQ, « Le nombre de proches répertoriés [..] grandit au fil du temps à mesure que de plus en plus de personnes rejoignent 23andMe. » Pour l’exercice 2023, l’entreprise a « génotypé » environ 14 millions de clients.
Depuis que 23andMe est devenue publique en 2021, la société a adopté des pratiques de protection des données — à juste titre, puisqu’elle traite des données médicales sensibles dérivées de prélèvements de salive, y compris des prédispositions à des maladies comme la maladie d’Alzheimer, le diabète de type 2 et même. Sur son site Internet, l’entreprise « dépasse » les normes de protection des données de son secteur.