La société de tests génétiques 23andMe enquête sur une violation de données qui a exposé les informations des clients, y compris les photos de profil, les années de naissance et les détails de l’ascendance de millions de ses utilisateurs.
Les données compromises ont été obtenues par un accès non autorisé aux comptes individuels de 23andMe, a déclaré l’entreprise dans un communiqué rapporté par Ars Technica. Les résultats préliminaires suggèrent que les identifiants de connexion utilisés pour accéder aux comptes « ont pu être recueillis par un acteur menaçant à partir de données divulguées lors d’incidents impliquant d’autres plateformes en ligne où les utilisateurs ont recyclé des identifiants de connexion », a déclaré 23andMe.
Cette technique, connue sous le nom de credential stuffing, consiste à utiliser des noms d’utilisateur et des mots de passe exposés lors de brèches précédentes pour accéder à d’autres comptes en ligne.
À la suite d’une allégation selon laquelle quelqu’un aurait eu accès à certaines données de clients de 23andMe et les aurait vendues, nous avons mené une enquête. Nous n’avons pas identifié d’accès non autorisé à nos systèmes. Nous continuerons à surveiller la situation.
– 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe a déclaré dans un billet de blog qu’elle n’avait aucune preuve d’une violation réelle de ses systèmes. « Nous n’avons aucune indication pour le moment qu’il y a eu un incident de sécurité des données dans nos systèmes », a écrit l’entreprise.
Selon Wired, la violation visait spécifiquement les utilisateurs d’origine juive ashkénaze. Les pirates ont publié un premier échantillon de données sur la plateforme BreachForums en début de semaine, affirmant qu’il contenait 1 million de points de données concernant exclusivement les juifs ashkénazes.
Les données ont été obtenues en grattant les informations de profil de parents connectés par le biais de la fonction « DNA Relatives » de 23andMe, qui permet aux clients d’entrer en contact avec des personnes génétiquement compatibles sur la plateforme. En accédant à des comptes compromis, le pirate a pu rassembler les profils d’utilisateurs apparentés qui avaient accepté de partager leurs informations.
« Nous pensons que l’acteur de la menace a pu ensuite, en violation de nos conditions de service, accéder aux comptes 23andme.com sans autorisation et obtenir des informations à partir de ces comptes », a expliqué 23andMe dans son billet de blog.
La semaine dernière, sur des forums de piratage, un utilisateur inconnu a fait de la publicité pour la vente de données d’utilisateurs de 23andMe, affirmant avoir obtenu des informations sur plus de 7 millions de clients. Les données divulguées comprenaient « les noms complets, les noms d’utilisateur, les photos de profil, le sexe, la date de naissance, les résultats de l’ascendance génétique et l’emplacement géographique », selon BleepingComputer.
Un autre utilisateur du forum aurait proposé l’accès aux profils 23andMe en masse, à des prix allant de 1 à 10 dollars par compte.
23andMe n’a pas divulgué de détails sur le nombre d’utilisateurs concernés ni sur l’ampleur de la fuite de données. Mais selon Ars Technica, une base de données contenait 1 million de clients d’origine juive ashkénaze, tandis qu’une seconde contenait 300 000 profils d’utilisateurs d’origine chinoise.
Les experts en sécurité ont à maintes reprises évoqué les risques liés à la compromission des données génétiques. « Votre ADN est la chose la plus précieuse que vous possédiez », a averti le Centre national de contre-espionnage et de sécurité des États-Unis en février 2021. « Il contient les détails les plus intimes de votre passé, de votre présent et de votre avenir potentiel, qu’il s’agisse d’une tendance à la dépendance ou d’un risque élevé de cancer.
« Perdre son ADN, ce n’est pas comme perdre une carte de crédit », poursuit le centre. « Vous pouvez commander une nouvelle carte de crédit, mais vous ne pouvez pas remplacer votre ADN. La perte de votre ADN ne vous affecte pas seulement vous, mais aussi vos proches et, potentiellement, les générations à venir. «
23andMe a déclaré avoir signalé la violation aux forces de l’ordre et a encouragé ses clients à réinitialiser leurs mots de passe et à activer l’authentification à deux facteurs.
« Nous surveillons et vérifions activement et régulièrement nos systèmes pour nous assurer que vos données sont protégées », a déclaré 23andMe. « Lorsque nous recevons des informations par le biais de ces processus ou d’autres sources affirmant que les données des clients ont été consultées par des personnes non autorisées, nous enquêtons immédiatement pour vérifier si ces informations sont exactes. »
La société de tests génétiques, qui propose des informations sur les ancêtres et les risques de santé à partir de l’analyse de l’ADN, a accumulé des données génétiques sur plus de 14 millions de clients depuis sa création en 2006.
23andMe a déclaré que les données divulguées ne contenaient aucun détail génomique. Mais les défenseurs de la vie privée s’inquiètent depuis longtemps de la sensibilité des résultats d’analyse d’ADN et des données ethniques compromises lors d’une brèche.
La fuite de 23andMe survient dans un contexte de cyberattaques majeures exposant des informations sensibles sur les utilisateurs. L’année dernière, 10,9 millions de comptes ont fait l’objet d’une fuite, soit 10 comptes par seconde, selon la société de protection de la vie privée Surfshark.
