23andMe victime d’un piratage : des mois passés sans déceler la violation de données
L'aventure a débuté en avril 2023 pour s'achever en septembre de la même année. Qu'est-ce qui a bien pu se passer pendant cette période intrigante ?
Tl;dr
- En 2023, la société de tests génétiques 23andMe a subi une fuite de données.
- Les pirates ont accédé aux informations de 5,5 millions de clients sur les profils DNA Relatives et 1,4 million sur les profils Family Tree.
- Les attaquants ont utilisé la technique du “credential stuffing” pour accéder aux comptes.
- 23andMe a conseillé à ses utilisateurs de changer leurs mots de passe suite à la violation de données.
Une fuite de données massive chez 23andMe
En 2023, 23andMe, une entreprise réputée dans le domaine des tests génétiques, s’est retrouvée dans la tourmente suite à une fuite de données. Les informations de 5,5 millions de clients sur les profils DNA Relatives et 1,4 million d’informations sur les profils Family Tree ont été exposées sur internet.
Les techniques des pirates
Les pirates ont utilisé une technique connue sous le nom de “credential stuffing”. Cette méthode consiste à utiliser des identifiants de connexion préalablement compromis pour accéder aux comptes des clients via le site internet de l’entreprise. La société n’a pas décelé le problème jusqu’à ce qu’un utilisateur publie un échantillon des données volées sur le subreddit 23andMe en octobre. Comme le note TechCrunch, les pirates avaient déjà fait la publicité de ces données volées sur un forum de hackers quelques mois auparavant, en août, mais 23andMe n’avait pas été alerté de cette publication.
Les conséquences pour les utilisateurs et l’entreprise
23andMe a conseillé aux utilisateurs affectés de changer leurs mots de passe après avoir révélé la violation de données. Cependant, avant d’envoyer des lettres aux clients pour les informer de l’incident, l’entreprise a modifié le langage de ses conditions de service, rendant plus difficile pour les personnes touchées de se regrouper et d’engager des poursuites légales contre la société.
L’avis de la rédaction
Cet incident souligne l’importance de la sécurité des données, surtout dans un domaine aussi sensible que la génétique. Il est essentiel que les entreprises renforcent leurs mesures de sécurité pour protéger les informations personnelles de leurs clients. Les utilisateurs, de leur côté, doivent également être vigilants et prendre des mesures pour sécuriser leurs comptes en ligne.