23andMe affirme que des données utilisateurs ont été volées lors d’une attaque de credential stuffing

 (bleepingcomputer.com)
1 points par GN⁺ 2023-10-08 | 1 commentaires | Partager sur WhatsApp
  • 23andMe, entreprise américaine de biotechnologie et de génomique, a confirmé une fuite de données liée aux données utilisateurs de sa plateforme.
  • L’entreprise affirme que cette fuite est due à une attaque de credential stuffing.
  • La fuite initiale était limitée, et l’acteur malveillant a publié 1 million de lignes de données concernant des personnes ashkénazes.
  • L’acteur malveillant a ensuite proposé de vendre en masse des profils de données pour 1 à 10 dollars par compte 23andMe.
  • Les données exposées comprennent les noms complets, noms d’utilisateur, photos de profil, sexe, date de naissance, résultats d’ascendance génétique et localisation géographique.
  • Les comptes compromis participaient à la fonctionnalité « DNA Relatives » de la plateforme, qui permet aux utilisateurs de trouver leurs parents génétiques et d’entrer en contact avec eux.
  • Après avoir accédé à un petit nombre de comptes 23andMe, l’acteur malveillant a récupéré les données de correspondance de leurs parents génétiques via DNA Relatives.
  • 23andMe a indiqué que les identifiants de connexion utilisés lors de ces tentatives d’accès pourraient avoir été collectés par l’acteur malveillant à partir de fuites de données sur d’autres plateformes en ligne où les utilisateurs avaient réutilisé les mêmes identifiants.
  • L’entreprise propose l’authentification à deux facteurs comme mesure supplémentaire de protection des comptes et recommande à tous les utilisateurs de l’activer.
  • Il est conseillé aux utilisateurs d’éviter de réutiliser leurs mots de passe et d’utiliser systématiquement des identifiants forts et uniques pour tous leurs comptes en ligne.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-08
Avis sur Hacker News
  • Le vol de données d’utilisateurs chez 23andMe était dû à une attaque de credential stuffing utilisant des bases de données d’e-mails/mots de passe déjà divulguées pour accéder au site.
  • Le problème est survenu parce que les gens réutilisent leurs mots de passe et n’activent pas l’authentification à deux facteurs.
  • Les données mises en vente comprennent des e-mails/mots de passe provenant d’autres compromissions qui fonctionnaient sur 23andMe, ainsi que les données que 23andMe détenait sur ces utilisateurs.
  • Cet incident a suscité des inquiétudes autour des « autorisations transitives » ou des « autorisations réseau ». Cela signifie qu’accorder un accès à une personne peut aussi permettre d’accéder à d’autres.
  • Certains utilisateurs évitent les tests génétiques en raison de ces préoccupations de sécurité.
  • Certains supposent que les pirates ont eu accès à toutes les données, mais n’ont divulgué en particulier que 1,3 million d’enregistrements de Juifs ashkénazes.
  • Certains utilisateurs pensent que ce type de violation continuera à se produire tant qu’il n’y aura pas de responsabilité pénale en cas de négligence dans la conservation et la protection des données.
  • La coopération de 23andMe avec les forces de l’ordre et la capacité d’identifier une personne à partir de l’échantillon ADN d’un cousin au troisième degré soulèvent des inquiétudes en matière de vie privée.
  • Le fait que la société de tests génétiques 1Health.io n’ait dû payer qu’une amende de 75�00 dollars à la FTC pour ne pas avoir protégé des données sensibles est vu comme une preuve que le gouvernement ne prend pas la vie privée au sérieux.
  • Il a été rapporté que certains services de généalogie demandent aux utilisateurs leurs identifiants 23andMe, ce qui montre la faiblesse de la sécurité dans ce secteur.
  • Cet incident a ravivé les critiques envers le fait que les gens confient leurs informations génétiques à des entreprises privées.