Le géant des tests ADN 23andMe a accepté de payer 30 millions de dollars pour régler une action en justice pour une violation de données qui a exposé les informations personnelles de 6,4 millions de clients en 2023.
Le règlement proposé du recours collectif, déposé jeudi devant un tribunal fédéral de San Francisco et en attente d’approbation judiciaire, comprend des paiements en espèces pour les clients concernés, qui seront distribués dans les dix jours suivant l’approbation finale.
« 23andMe estime que le règlement est juste, adéquat et raisonnable », a déclaré la société dans un mémorandum déposé vendredi.
23andMe a également accepté de renforcer ses protocoles de sécurité, notamment des protections contre les attaques par bourrage d’informations d’identification, une authentification à deux facteurs obligatoire pour tous les utilisateurs et des audits annuels de cybersécurité.
L’entreprise doit également créer et maintenir un plan de réponse aux incidents de violation de données et cesser de conserver les données personnelles des comptes inactifs ou désactivés. Un programme actualisé de sécurité de l’information sera également fourni à tous les employés lors des sessions de formation annuelles.
« 23andMe nie les réclamations et allégations énoncées dans la Plainte, nie qu’elle n’a pas correctement protégé les Informations personnelles de ses consommateurs et utilisateurs, et nie en outre la viabilité des réclamations des représentants du Groupe de règlement pour dommages-intérêts légaux », a déclaré la société dans le règlement préliminaire déposé.
« 23andMe nie tout acte répréhensible de quelque nature que ce soit, et cet Accord ne doit en aucun cas être interprété ou considéré comme une preuve ou une admission ou une concession de la part de 23andMe en ce qui concerne toute réclamation de faute ou de responsabilité ou d’actes répréhensibles ou de dommages de quelque nature que ce soit. »
Ce règlement répond aux allégations selon lesquelles la société de tests génétiques n’a pas réussi à protéger la vie privée des utilisateurs et a négligé d’informer les clients que les pirates les ciblaient spécifiquement et que leurs informations auraient été proposées à la vente sur le Dark Web.
Données volées suite à une attaque de bourrage d’informations d’identification
En octobre 2023, 23andMe a révélé qu’un accès non autorisé aux profils des clients s’était produit via des comptes compromis. Les pirates ont exploité les informations d’identification volées lors d’autres violations pour accéder aux comptes 23andMe.
Après avoir découvert la violation, l’entreprise a mis en œuvre des mesures pour bloquer des incidents similaires, notamment en obligeant les clients à réinitialiser leurs mots de passe et en activant l’authentification à deux facteurs par défaut à partir de novembre.
À partir d’octobre, des acteurs de la menace ont divulgué des profils de données appartenant à 4,1 millions d’individus au Royaume-Uni et à 1 million de Juifs ashkénazes sur le subreddit officieux 23andMe et des forums de piratage comme BreachForums.
23andMe a déclaré à Breachtrace en décembre que des données pour 6,9 millions de clients, y compris des informations sur 6,4 millions de résidents américains, avaient été téléchargées lors de la violation.
En janvier, la société a également confirmé que des attaquants avaient volé des rapports de santé et des données brutes sur le génotype au cours d’une attaque de bourrage d’informations d’identification de cinq mois d’avril à septembre.
La violation de données a conduit à de multiples recours collectifs, incitant 23andMe à modifier ses Conditions d’utilisation en novembre 2023, une décision critiquée par les clients. La société a précisé par la suite que les modifications visaient à simplifier le processus d’arbitrage.