Les autorités de protection de la vie privée du Canada et du Royaume-Uni ont lancé une enquête conjointe pour évaluer l’étendue des renseignements sensibles sur les clients exposés lors de l’atteinte à la protection des données 23andMe de l’an dernier.

Le Commissaire à la protection de la vie privée du Canada et le Bureau du commissaire à l’information (BCI) examineront également si l’entreprise disposait de mesures de protection adéquates pour sécuriser les données des clients stockées dans ses systèmes.

L’enquête conjointe examinera également si 23andMe a alerté les personnes concernées et les organismes de réglementation de la protection de la vie privée, comme l’exigent les lois canadiennes et britanniques sur la protection de la vie privée et des données.

« Entre de mauvaises mains, les informations génétiques d’un individu pourraient être utilisées à mauvais escient à des fins de surveillance ou de discrimination. Veiller à ce que les renseignements personnels soient adéquatement protégés contre les attaques d’acteurs malveillants est un objectif important pour les autorités chargées de la protection de la vie privée au Canada et dans le monde entier », a déclaré le commissaire à la protection de la vie privée du Canada, Philippe Dufresne.

« Les gens doivent avoir confiance que toute organisation traitant leurs informations personnelles les plus sensibles dispose des mesures de sécurité et de protection appropriées », a ajouté le commissaire à l’information du Royaume-Uni, John Edwards.

« Cette atteinte à la protection des données a eu un impact international, et nous sommes impatients de collaborer avec nos homologues canadiens pour nous assurer que les renseignements personnels des personnes au Royaume-Uni sont protégés. »

Des comptes 23andMe piratés lors d’une attaque de bourrage d’informations d’identification
En janvier, le fournisseur de tests génétiques 23andMe a confirmé que les attaquants avaient volé des rapports de santé et des données brutes sur le génotype des clients concernés lors d’une attaque de bourrage d’informations d’identification de cinq mois du 29 avril au 27 septembre.

Les attaquants ont utilisé des informations d’identification volées lors d’autres violations de données ou des plateformes en ligne compromises pour violer les comptes 23andMe.

Après avoir détecté l’attaque le 10 octobre, 23andMe a commencé à demander à tous les clients de réinitialiser leurs mots de passe. Depuis le 6 novembre, l’authentification à deux facteurs est activée par défaut pour tous les clients nouveaux et existants.

La société a révélé dans des lettres de notification de violation de données envoyées aux personnes touchées que certaines données volées avaient été publiées sur le forum de piratage BreachForums et le subreddit non officiel 23andMe.

Fuite des données client de 23andMe

Les informations divulguées comprenaient les données de 4,1 millions de personnes vivant au Royaume-Uni et 1 million de Juifs ashkénazes.

23andMe a déclaré à Breachtrace en décembre que les auteurs de la menace avaient téléchargé des données pour 6,9 millions de clients sur 14 millions après avoir piraté environ 14 000 comptes d’utilisateurs.

Environ 5,5 millions d’individus ont vu leurs données récupérées via la fonction Parents ADN et 1,4 million via la fonction Arbre généalogique.

En raison de l’incident, plusieurs poursuites ont été intentées contre 23andMe, ce qui a incité la société à mettre à jour ses Conditions d’utilisation le 30 novembre afin de rendre plus difficile pour les clients de se joindre à des recours collectifs.

Cependant, 23andMe a déclaré que les modifications avaient été apportées pour rendre le processus d’arbitrage plus efficace et plus accessible à la compréhension des clients.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *