Alors que le fournisseur de tests génétiques 23andMe fait face à plusieurs poursuites judiciaires pour une attaque de credential stuffing en octobre ayant conduit au vol de données client, la société a modifié ses conditions d’utilisation pour rendre plus difficile toute poursuite en justice contre la société.
En octobre, un acteur malveillant a tenté de vendre les données des clients de 23andMe et, après avoir échoué, a divulgué les données d’un million de Juifs ashkénazes et de 4,1 millions de personnes vivant au Royaume-Uni.
23andMe a déclaré à Breachtrace que les données avaient été obtenues grâce à des attaques de credential stuffing visant à violer les comptes clients. En utilisant ce nombre limité de comptes, les auteurs de la menace ont utilisé la fonctionnalité « DNA Relatives » pour récupérer les données de millions d’individus.
Dans une mise à jour récente, 23andMe a déclaré à Breachtrace qu’un total de 6,9 millions de personnes ont été touchées par la violation – 5,5 millions via la fonctionnalité DNA Relatives et 1,4 million de personnes via la fonctionnalité Arbre généalogique.
Conditions d’utilisation mises à jour pour éviter les poursuites
Cette violation a donné lieu à de nombreuses poursuites contre la société, ce qui a amené 23andMe à mettre à jour ses conditions d’utilisation le 30 novembre pour contenir une disposition stipulant que l’arbitrage obligatoire est requis pour tous les litiges, plutôt que les procès devant jury ou les recours collectifs.
« Ces conditions d’utilisation contiennent une disposition obligatoire d’arbitrage des litiges qui exige le recours à l’arbitrage sur une base individuelle pour résoudre les litiges dans certaines circonstances, plutôt qu’à des procès devant jury ou à des recours collectifs », indique les conditions d’utilisation mises à jour.
Les e-mails envoyés aux clients concernant ce changement indiquent que les utilisateurs disposent d’un délai de 30 jours après réception de la notification par e-mail pour informer 23andMe à [email protected] qu’ils ne sont pas d’accord avec les nouvelles conditions.
Ceux qui envoient un e-mail contestant la mise à jour resteront sur les conditions d’utilisation précédentes.
Nancy Kim, professeure au Chicago-Kent College of Law, a déclaré à Axios que ce changement dans les conditions d’utilisation ne protégerait probablement pas 23andMe des poursuites judiciaires, car il serait difficile de prouver qu’ils ont donné un préavis raisonnable pour se retirer des nouvelles conditions.