Barbara
# DONNÉES DE 6,9 MILLIONS D’UTILISATEURS DE 23ANDME COMPROMISES SUITE À UNE VIOLATION DE SÉCURITÉ
23andMe a confirmé qu’une récente violation de données a compromis les informations appartenant à 6,9 millions d’utilisateurs. Dans une déclaration envoyée par courriel à The Verge, le porte-parole de l’entreprise, Andy Kill, indique que la violation a affecté environ 5,5 millions d’utilisateurs ayant activé DNA Relatives, une fonctionnalité qui met en correspondance les utilisateurs ayant des compositions génétiques similaires, tandis que 1,4 million de personnes ont eu leurs profils d’arbres généalogiques consultés.
Dans une déclaration à la Securities and Exchange Commission (SEC) et une mise à jour de son article de blog le 1er décembre, 23andMe a déclaré qu’un acteur malveillant utilisant une attaque de remplissage d’identifiant – se connectant avec des informations de compte obtenues dans d’autres violations de sécurité, généralement en raison de la réutilisation de mots de passe – a directement accédé à 0,1% des comptes d’utilisateurs, soit environ 14 000 utilisateurs. Avec l’accès à ces comptes, les attaquants ont utilisé la fonctionnalité DNA Relatives pour accéder aux informations supplémentaires de millions d’autres profils.
« Nous n’avons toujours aucune indication qu’il y a eu un incident de sécurité des données au sein de nos systèmes», a déclaré l’entreprise dans sa déclaration.
L’entreprise a également noté que le pirate informatique a également accédé à “un nombre significatif de fichiers” via la fonctionnalité Relations, mais sans préciser le chiffre mentionné précédemment.
Kill indique à The Verge: “Nous n’avons toujours aucune indication qu’il y a eu un incident de sécurité des données au sein de nos systèmes, ou que 23andMe était à l’origine des informations de compte utilisées dans ces attaques.” Cette déclaration est en contradiction avec le fait que des informations de 6,9 millions d’utilisateurs se trouvent désormais entre les mains des attaquants.
Les premiers signes publics de problèmes sont apparus en octobre lorsque 23andMe a confirmé que les informations des utilisateurs étaient mises en vente sur le dark web. Le site de test génétique a ensuite déclaré qu’il enquêtait sur les affirmations d’un pirate informatique selon lesquelles ils avaient divulgué 4 millions de profils génétiques de personnes au Royaume-Uni et “des personnes les plus riches vivant aux États-Unis et en Europe occidentale.”
Les 5,5 millions de profils de DNA Relatives divulgués comprenaient des utilisateurs qui ne faisaient pas partie de l’attaque initiale de remplissage d’identifiant. Les données révélées comprennent des noms d’affichage, des relations prévues avec d’autres, la quantité d’ADN partagée avec des correspondances, des rapports généalogiques, des lieux signalés, des lieux de naissance des ancêtres, des noms de famille, des photos de profil et plus encore.
Les 1,4 million d’utilisateurs restants qui ont également participé à la fonctionnalité DNA Relatives ont eu leurs profils d’arbres généalogiques consultés. Cette fonctionnalité comprend également des noms d’affichage, des étiquettes de relations, des années de naissance et des lieux signalés. Elle n’inclut pas le pourcentage d’ADN partagé avec des parents potentiels sur le site ou des segments d’ADN correspondants.
23andMe indique qu’elle est toujours en train de notifier les utilisateurs affectés par la violation. Elle a également commencé à avertir les utilisateurs de réinitialiser leurs mots de passe et exige maintenant une vérification en deux étapes pour les nouveaux et les anciens utilisateurs, ce qui était auparavant facultatif.
