Un dossier déposé auprès de la SEC a révélé plus de détails sur une violation de données affectant les utilisateurs de 23andMe qui a été divulguée plus tôt cet automne. La société affirme que son enquête a révélé que les pirates informatiques ont pu accéder aux comptes d’environ 0,1 % de sa base d’utilisateurs, soit environ 14 000 de ses 14 millions de clients au total. TechCrunch Remarques. En plus de cela, les attaquants ont pu exploiter la fonctionnalité opt-in DNA Relatives (DNAR) de 23andMe, qui associe les utilisateurs à leurs parents génétiques, pour accéder à des informations sur des millions d’autres utilisateurs. Un porte-parole de 23andMe a déclaré à Engadget que les pirates avaient ainsi accédé aux profils DNAR d’environ 5,5 millions de clients, ainsi qu’aux informations de profil de l’arbre généalogique de 1,4 million de participants à DNA Relative.
Les profils DNAR contiennent des détails sensibles, notamment des informations autodéclarées telles que les noms d’affichage et les emplacements, ainsi que des pourcentages d’ADN partagés pour les correspondances ADN des parents, les noms de famille, les relations prédites et les rapports d’ascendance. Les profils d’arbre généalogique contiennent des noms d’affichage et des étiquettes de relation, ainsi que d’autres informations qu’un utilisateur peut choisir d’ajouter, notamment l’année de naissance et le lieu. Lorsque la violation a été révélée pour la première fois en octobre, la société a déclaré que son enquête « avait révélé qu’aucun résultat de test génétique n’avait été divulgué ».
Selon le nouveau dossier, les données « incluaient généralement des informations sur l’ascendance et, pour un sous-ensemble de ces comptes, des informations relatives à la santé basées sur la génétique de l’utilisateur ». Tout cela a été obtenu grâce à une attaque de type credential stuffing, dans laquelle les pirates ont utilisé les informations de connexion d’autres sites Web précédemment compromis pour accéder aux comptes de ces utilisateurs sur d’autres sites. Ce faisant, indique le dossier, « l’acteur malveillant a également accédé à un nombre important de fichiers contenant des informations de profil sur l’ascendance d’autres utilisateurs que ces utilisateurs ont choisi de partager en s’inscrivant à la fonctionnalité ADN Relatives de 23andMe et a publié certaines informations en ligne ».
Suite à la découverte de la violation, 23andMe a demandé aux utilisateurs concernés de modifier leurs mots de passe et a ensuite déployé une authentification à deux facteurs pour tous ses clients. Dans une autre mise à jour vendredi, 23andMe a déclaré avoir terminé l’enquête et informer toutes les personnes concernées. La société a également écrit dans le dossier qu’elle « estime que l’activité des acteurs menaçants est contenue » et qu’elle s’efforce de faire supprimer les informations publiées publiquement.
Mise à jour, 2 décembre 2023, 19 h 03 HE : Cette histoire a été mise à jour pour inclure des informations fournies par un porte-parole de 23andMe sur l’étendue de la violation et le nombre de participants DNA Relative concernés.