Le fournisseur de tests génétiques 23andMe a confirmé que des pirates informatiques avaient volé des rapports de santé et des données brutes sur le génotype de clients touchés par une attaque de bourrage d’informations d’identification qui est passée inaperçue pendant cinq mois, du 29 avril au 27 septembre.

Les informations d’identification utilisées par les attaquants pour pirater les comptes des clients ont été volées lors d’autres violations de données ou utilisées sur des plateformes en ligne précédemment compromises.

Comme l’a révélé la société de génomique et de biotechnologie dans des lettres de notification de violation de données envoyées aux personnes touchées par l’incident, certaines des données volées ont été publiées sur le forum de piratage BreachForums et sur le site non officiel de subreddit 23andMe.

Les informations divulguées incluent les données de 1 million de Juifs ashkénazes et de 4,1 millions de personnes vivant au Royaume-Uni.

« Notre enquête a déterminé que l’auteur de la menace a téléchargé ou accédé à vos données brutes ininterrompues sur le génotype, et a peut-être accédé à d’autres informations sensibles sur votre compte, telles que certains rapports de santé dérivés du traitement de vos informations génétiques, y compris des rapports de prédisposition à la santé, des rapports de bien-être et des rapports sur l’état du porteur », a révélé 23andMe.

« Dans la mesure où votre compte contenait de telles informations, l’auteur de la menace peut également avoir accédé à des informations sur l’état de santé autodéclaré et à des informations dans vos paramètres. »

Pour les clients qui ont également utilisé la fonctionnalité Parents ADN de 23andme, il est possible que les attaquants aient également récupéré leurs Parents ADN et les informations de profil de leur arbre généalogique.

Ils peuvent également avoir gagné en visibilité sur les informations suivantes des clients concernés s’ils sont partagés via la fonctionnalité Parents ADN:

  • Rapports d’ascendance et segments d’ADN correspondants (en particulier là où sur vos chromosomes vous et votre parent aviez un ADN correspondant),
  • Emplacement autodéclaré (ville / code postal),
  • Lieux de naissance et noms de famille des ancêtres,
  • Photo de profil, année de naissance et tout ce qui est inclus dans la section « Présentez-vous » de leur profil

23andMe a déclaré à Breachtrace en décembre que les pirates avaient téléchargé les données de 6,9 millions de personnes sur les 14 millions de clients existants après avoir piraté environ 14 000 comptes d’utilisateurs.

5,5 millions d’individus ont vu leurs données récupérées via la fonction Parents ADN et 1,4 million via la fonction Arbre généalogique.

Le 10 octobre, environ une semaine après avoir détecté l’attaque, 23andMe a commencé à demander à tous les clients de réinitialiser leurs mots de passe.

Depuis le 6 novembre, tous les clients nouveaux et existants doivent utiliser l’authentification à deux facteurs lorsqu’ils se connectent à leurs comptes pour bloquer les futures tentatives de bourrage d’informations d’identification.

L’incident de l’année dernière a également donné lieu à de multiples poursuites judiciaires contre 23andMe, obligeant la société à mettre à jour ses Conditions d’utilisation le 30 novembre avec des dispositions qui rendent plus difficile pour les clients de se joindre à des recours collectifs contre 23andMe.

« Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie peut intenter des litiges contre l’autre partie uniquement à titre individuel, et non en tant que recours collectif ou action collective ou arbitrage collectif », lit-on dans l’une des mises à jour.

Cependant, 23andMe a déclaré que ces modifications avaient été ajoutées pour rendre le processus d’arbitrage plus efficace et plus facile à comprendre pour les clients.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *