L’incroyable faille de sécurité chez 23andMe qui est restée invisible pendant des mois
L'événement a commencé en avril 2023 et s'est prolongé jusqu'en septembre de la même année. Avez-vous une idée de ce qui a pu se produire pendant cette période ?
Tl;dr
- En 2023, la société de tests génétiques 23andMe a subi une fuite de données.
- Les informations de 5,5 millions de clients ont été exposées.
- La violation a été révélée par un utilisateur sur le subreddit de 23andMe.
- La société a ensuite modifié ses conditions de service, rendant plus difficile les actions en justice collectives.
Une violation de données massive chez 23andMe
En 2023, 23andMe, une entreprise de tests génétiques, a été la cible d’une violation de données d’une ampleur considérable. Les informations sensibles de 5,5 millions de clients ont été compromises et rendues publiques.
Un coup porté à la confidentialité des clients
Les malfaiteurs ont eu accès aux profils d’informations concernant les relations génétiques de millions de clients, ainsi qu’aux informations des arbres généalogiques de 1,4 million de participants. Ce n’est qu’en septembre 2023 que l’entreprise a découvert la brèche de sécurité, après des mois d’activité des cybercriminels.
La technique du “credential stuffing”
La technique utilisée par les pirates, appelée “credential stuffing”, consiste à utiliser des identifiants de connexion préalablement compromis pour accéder aux comptes clients via le site web de l’entreprise. L’entreprise n’a rien remarqué jusqu’à ce qu’un utilisateur publie un échantillon des données volées sur le subreddit de 23andMe en octobre. Comme le note TechCrunch, les pirates avaient déjà vendu ces données sur un forum de pirates quelques mois plus tôt, en août.
Difficulté accrue pour des actions en justice
Après avoir révélé la violation de données, 23andMe a conseillé à ses utilisateurs de changer leurs mots de passe. Cependant, avant de prévenir ses clients, l’entreprise a modifié la formulation de ses conditions de service, rendant plus difficile pour les personnes affectées de s’unir et d’intenter une action en justice contre l’entreprise.
L’avis de la rédaction
Il est crucial que les entreprises prennent des mesures préventives solides pour protéger les données des utilisateurs. La violation de 23andMe souligne l’importance de la vigilance des utilisateurs et des entreprises en matière de sécurité des données. Nous espérons que cette situation incitera d’autres entreprises à renforcer leurs mesures de sécurité.