La société de tests génétiques 23andMe a fait savoir vendredi qu’elle avait ouvert une enquête sur un éventuel vol de données après la mise en vente sur le dark web des données personnelles de millions de ses clients.
Un pirate informatique a publié sur un forum en ligne les informations personnelles de sept millions de clients. Ces données incluent une estimation de l’origine, le phénotype, des informations sur la santé, des photos et des données d’identification.
Le message a été saisi par Dark Web Informer, qui l’a partagé sur X (anciennement Twitter) le 4 octobre. Le pirate informatique a affirmé que le PDG de 23andMe savait que l’entreprise avait été « piratée » il y a deux mois et que « 13 millions de fichiers » avaient été saisis.
Un autre pirate a publié des extraits de données d’un million de clients d’origine ashkénaze sur un forum de piratage en ligne. Le pirate a ensuite proposé de vendre les profils de données brutes pour 1 à 10 dollars par compte, a rapporté BleepingComputer. Les données comprennent des estimations de l’origine et du phénotype des clients, des photos, des liens vers des parents potentiels et des profils de données brutes.
En réponse, 23andMe a publié une déclaration indiquant qu’elle savait que certaines informations relatives au profil des clients avaient été recueillies à partir de comptes personnels sans l’autorisation des utilisateurs de ces comptes, mais elle n’a pas précisé le nombre de comptes concernés.
23andMe est une société californienne de biotechnologie spécialisée dans les services de tests génétiques qui permettent aux clients de connaître leurs origines ancestrales et leur état de santé.
« Après avoir pris connaissance d’une activité suspecte, nous avons immédiatement entamé une enquête », a déclaré la société dans un billet de blog le 6 octobre.
« Nous n’avons aucune indication à ce jour qu’il y ait eu un incident de sécurité des données dans nos systèmes ou que 23andMe soit la source des identifiants de compte utilisés dans ces attaques », a ajouté la société.
La société a déclaré qu’elle pensait que des pirates informatiques ont eu accès à des comptes où les utilisateurs ont employé les mêmes identifiants de connexion, ce qui signifie que les mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites web déjà piratés.
« Nous pensons que le pirate a pu ensuite, en violation de nos conditions d’utilisation, accéder aux comptes 23andMe.com sans autorisation et obtenir des informations de certains comptes, notamment des informations sur les profils des parents ADN des clients, dans la mesure où un client a opté pour ce service », a ajouté la société.
Cette technique de piratage, connue sous le nom de « credential stuffing » (Bourrage d’identifiant), est l’une des raisons qui conduisent les experts en cybersécurité à déconseiller l’utilisation d’un même mot de passe sur différents sites.
Les utilisateurs ont été encouragés à réinitialiser leurs mots de passe ou à utiliser l’authentification multifactorielle, qui fournit une couche de sécurité supplémentaire et peut empêcher des acteurs malveillants d’accéder à un compte en utilisant des mots de passe recyclés.
Autres cas de violation de données
Quelques semaines après la divulgation sur le dark web des données personnelles de 1,24 million de clients de la chaîne de librairies australienne Dymocks, une enquête interne a été ouverte. Dymocks a confirmé que les systèmes informatiques d’un partenaire tiers avaient été consultés le 18 septembre.
Cependant, Dymocks a déclaré qu’« il ne semble pas y avoir eu d’accès non autorisé à nos systèmes ».
« Nous travaillons avec le partenaire identifié afin de comprendre si et comment ses systèmes ont été piratés en dépit des mesures de sécurité mises en place », a indiqué un porte-parole de Dymocks.
« Bien que l’ampleur de la violation n’ait pas encore été confirmée, les premières indications montrent que les mots de passe et les informations financières n’ont pas été compromis. »
En janvier, 2,6 millions d’utilisateurs de la plateforme d’apprentissage des langues Duolingo ont vu leurs données mises en vente pour 1500 dollars sur un forum de piratage. Les données englobaient les adresses électroniques, les numéros de téléphone et d’autres informations des utilisateurs.
Duolingo a annoncé qu’elle enquêtait sur la question, mais n’a signalé aucune violation de données ni aucun piratage. L’entreprise pense que le pirate informatique a pu obtenir les données en récupérant des informations sur les profils publics.
« Il n’y a pas eu de vol de données ou de piratage. Nous prenons au sérieux la confidentialité et la sécurité des données et nous continuons à enquêter sur cette affaire afin de déterminer si d’autres mesures sont nécessaires pour protéger nos utilisateurs », a déclaré l’entreprise à The Record.
Isabella Rayner et Reuters ont contribué à la rédaction de cet article.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.
