Des millions d’enregistrements supplémentaires d’utilisateurs de 23andMe divulgués sur un forum de cybercriminalité
(techcrunch.com)- Deux semaines après les premières révélations sur la fuite de données d’utilisateurs de 23andMe, le même hacker a publié sur BreachForums un nouveau jeu de données portant sur 4 millions de personnes
- Un hacker nommé Golem affirme que ce nouveau jeu de données comprend des utilisateurs originaires de Grande-Bretagne, ainsi que des informations sur « les personnes les plus riches vivant aux États-Unis et en Europe occidentale »
- TechCrunch a confirmé qu’une partie des nouvelles données divulguées correspond à des informations d’utilisateurs et données génétiques de 23andMe déjà rendues publiques
- Après avoir pris connaissance de cette nouvelle fuite, 23andMe examine l’authenticité des données et avait auparavant demandé aux utilisateurs de changer leur mot de passe et d’activer l’authentification multifacteur
- La méthode d’intrusion réelle, l’ampleur totale de la fuite et l’objectif de l’utilisation des données volées n’ont pas encore été confirmés, ce qui laisse subsister des risques supplémentaires pour les utilisateurs de 23andMe
Données supplémentaires publiées sur BreachForums
- Un hacker nommé Golem a publié sur le forum de cybercriminalité BreachForums un nouveau jeu de données contenant 4 millions d’informations d’utilisateurs de 23andMe
- Ce hacker est le même que celui qui, deux semaines plus tôt, avait déjà divulgué un lot de données d’utilisateurs volées à la société de tests génétiques 23andMe
- TechCrunch a confirmé qu’une partie des données nouvellement divulguées correspond à des informations d’utilisateurs et données génétiques de 23andMe déjà rendues publiques
- Golem affirme que le jeu de données inclut des informations sur des personnes originaires de Grande-Bretagne
- Il affirme également que la liste contient des données sur « les personnes les plus riches vivant aux États-Unis et en Europe occidentale »
- Le porte-parole de 23andMe, Andy Kill, a indiqué que l’entreprise avait connaissance de cette nouvelle fuite et vérifiait si les données étaient bien authentiques et provenaient de 23andMe
Explication de l’incident par 23andMe et mesures de sécurité des comptes
- Le 23andMe a annoncé le 6 octobre qu’un hacker avait obtenu certaines données d’utilisateurs, en expliquant qu’il avait eu recours au credential stuffing
- Le credential stuffing consiste à tester des combinaisons de nom d’utilisateur ou d’e-mail et de mot de passe déjà exposées lors d’autres fuites de données
- En réponse à l’incident, 23andMe a demandé aux utilisateurs de changer leur mot de passe et a recommandé d’activer l’authentification multifacteur
- Selon sa page officielle de réponse à l’incident, 23andMe a lancé une enquête avec l’aide d’« experts forensiques tiers »
- L’entreprise attribue l’incident à la réutilisation de mots de passe par les clients et à la fonctionnalité optionnelle DNA Relatives
- DNA Relatives permet de voir les données d’autres utilisateurs ayant choisi d’y participer et présentant des correspondances génétiques
- Si cette fonctionnalité est activée, un hacker qui compromet un compte peut scraper les données de nombreux utilisateurs
Questions encore sans réponse
- On ne sait pas clairement si le hacker a réellement utilisé le credential stuffing ou une autre technique
- Le volume total de données d’utilisateurs volées reste inconnu
- On ignore également comment le hacker compte utiliser ces données
- Il est possible que cet incident ait eu lieu il y a plusieurs mois, ou qu’il ait au moins commencé à ce moment-là
- Le 11 août, sur un autre forum de cybercriminalité appelé Hydra, un hacker a mis en vente un ensemble de données d’utilisateurs de 23andMe
- Selon l’analyse de TechCrunch, cet ensemble correspond en partie aux enregistrements d’utilisateurs divulgués il y a deux semaines
- Le hacker sur Hydra affirmait détenir 300 To de données d’utilisateurs de 23andMe, sans en apporter la preuve
- À ce stade, l’ampleur totale de la fuite reste floue, et 23andMe semble ne pas encore savoir exactement combien de données ont été exfiltrées
1 commentaires
Avis sur Hacker News
Le fait que 23andMe rejette la faute sur la réutilisation des mots de passe par ses clients et sur DNA Relatives, une fonctionnalité opt-in qui permet de voir les données d’autres participants présentant une correspondance génétique, détourne l’attention du vrai problème.
Les options de partage de DNA Relatives manquent de granularité et, en gros, ne proposent que deux niveaux, ce qui est insuffisant.
De plus, 23andMe limite l’affichage aux 1 500 personnes les plus proches parmi celles qui participent à DNA Relatives ; avec une telle architecture, il aurait suffi à un pirate de prendre le contrôle de quelques milliers de comptes pour collecter, sur la majeure partie de la base de données, les haplogroupes, les prédictions d’origine ethnique, les noms, les profils, les listes de proches et les informations d’origine géographique.
Cette limite de 1 500 personnes aide en théorie, mais ces derniers temps il était possible de voir aussi des profils au-delà de cette limite, et on ne sait pas si cela faisait partie de la méthode d’exploitation.
Si, pour obtenir une confidentialité totale, il faut se retirer, je ne vois pas en quoi il s’agit d’une fonctionnalité opt-in.
On ne sait pas non plus clairement ce que signifie ici une confidentialité totale, ni en quoi elle diffère de la confidentialité que l’on peut raisonnablement attendre.
À mon avis, l’affirmation de l’entreprise selon laquelle cette fonctionnalité repose sur une participation volontaire n’a aucun sens.
Si un utilisateur a réutilisé un mot de passe, cela peut expliquer la compromission d’un compte individuel, mais une entreprise aurait facilement pu limiter l’ampleur des dégâts.
Il ne devrait pas être possible d’aspirer les données de millions de personnes avec seulement un lot de comptes piratés.
Je me demande si le CEO de 23andMe va lui aussi passer les dix prochaines années à être traîné devant le Congrès.
Avoir utilisé 23andMe est l’un des plus grands regrets de ma vie. Je l’ai fait avant de me soucier de ma vie privée, parce qu’il y avait une promotion sur Amazon.
Même si je demande la suppression, je n’ai absolument aucune confiance dans le fait qu’ils effaceront réellement mes données ; et même s’ils le font, je ne sais pas si ces données ne continuent pas déjà d’exister quelque part dans un modèle ou une recherche.
Une partie de moi ne veut même pas savoir si mes données figurent dans cette fuite. Ce n’est pas la même chose qu’une fuite de données de carte bancaire ou d’achats.
Le pire, c’est que je ne m’étais pas connecté à 23andMe depuis longtemps, et que c’était probablement avant que je me préoccupe vraiment d’une bonne sécurité des mots de passe, donc cela ne me surprendrait pas.
Facebook et Google disposent d’un portrait beaucoup plus précis qu’ils peuvent utiliser pour manipuler les gens, et 23andMe n’est guère plus qu’une curiosité.
Mes données figurent probablement aussi dans cette fuite, mais je ne vais pas consacrer une seule seconde de ma vie à le regretter.
Il n’y a plus qu’à attendre de voir si quelque chose tombera d’un recours collectif. Comme lors du piratage d’Experian, si je reçois par la poste un chèque ridiculement faible, j’aurai au moins un objet à poser sur la table basse.
Cela dit, je me suis inscrit sous un pseudonyme, j’ai donné le kit de test à mon père, et j’ai aussi fait tester une tante.
Ce n’était pas exact, mais suffisant pour satisfaire ma curiosité.
Au bout du compte, tout finit par être piraté un jour. Comme l’a dit un hacker célèbre, il faut partir du principe que tout ce qui est dit ou écrit deviendra un jour une information publique.
Et pour ceux qui diraient « comment avez-vous pu faire ça à votre père ? », ils comprendraient s’ils le connaissaient. Il vit presque hors réseau et doit bientôt mourir, et ma tante est déjà décédée.
Je suis l’une des victimes de la fuite. Je suis plutôt à l’aise avec la technique, je connais bien la sécurité, et j’utilise partout des mots de passe uniques et sûrs.
Cette entreprise et son foutu rejet de responsabilité me dégoûtent vraiment.
Ce n’est ni plus ni moins que du doxxing d’entreprise. Ça continuera à se reproduire tant que les dirigeants individuels de ces grandes entreprises qui crachent au visage des utilisateurs ne seront pas tenus personnellement responsables.
Jusque-là, ils n’ont aucune obligation de s’en soucier réellement. Nous ne sommes que la matière première qui alimente une machine à gagner de l’argent.
Plus que la fuite elle-même, c’est l’absence de responsabilité qui me met en colère.
L’ambiance dans les commentaires, où l’on blâme les victimes, est choquante.
Même en supposant 1 500 correspondances par personne et aucune parenté en commun, il faudrait environ 10 000 comptes piratés avec succès pour atteindre l’ampleur des données divulguées, soit environ 14 millions de personnes.
En réalité, beaucoup de gens ont des proches en commun, donc il aurait fallu compromettre bien plus que 10 000 comptes, sans que 23andMe ne remarque quoi que ce soit de suspect pendant tout ce temps. C’est très peu crédible.
23andMe affirme que la cause profonde de cette fuite est le credential stuffing, mais les hackers qui ont publié les premières données sur Hydra Market il y a deux mois affirmaient avoir simplement utilisé, ou abusé, de l’API que 23andMe avait fournie à des partenaires universitaires et de recherche.
Les hackers ont affirmé posséder 300 To, y compris des données brutes, mais ils n’ont pas encore fourni de preuves que l’attaque ait eu une telle ampleur. Si cette affirmation est vraie, toutefois, cette compromission correspond bien davantage à l’utilisation alléguée de l’API qu’à du credential stuffing.
Donc si l’ampleur annoncée par l’attaquant est exacte, il est bien plus probable que l’ensemble des données ait été aspiré via l’une des API de 23andMe plutôt que par credential stuffing. L’un des chercheurs partenaires a pu être piraté, ou il a pu exister — voire exister encore — une faille de contrôle d’accès dans l’API permettant à l’attaquant de réaspirer toutes les données.
Il n’y a pas beaucoup d’informations sur l’API fournie par 23andMe, mais j’en ai trouvé une sur RapidAPI (https://rapidapi.com/23andme/api/23andme) ; s’il y a eu une faille de contrôle d’accès ou un piratage d’utilisateur avec élévation de privilèges, il aurait été possible de partir d’une seule personne, de télécharger des données via plusieurs endpoints, puis de suivre récursivement tous les proches via l’endpoint des proches et de télécharger les données de chacun une fois. Il existe même un endpoint pour le génome complet d’une personne.
Pour l’instant, je suis très sceptique quant à la ligne de défense de 23andMe, mais tant que l’attaquant ne publie pas de preuve qu’il possède les données brutes, il est difficile de prouver que l’entreprise se trompe ou ment sur l’ampleur réelle de l’attaque. Cela dit, l’affirmation selon laquelle une API a été utilisée est beaucoup plus plausible que le scénario présenté par 23andMe, et c’est donc très inquiétant.
Bien sûr, s’ils le voulaient vraiment, ils pourraient me retrouver à partir de proches qui utilisent la plateforme.
« 23andMe a accusé les clients de réutiliser leurs mots de passe » : quelle que soit la formulation exacte, ce n’est pas un problème des clients, mais une insuffisance de l’entreprise.
Les clients réutilisent leurs mots de passe et continueront à le faire. Quand il s’agit d’informations personnelles identifiables sensibles, il est beaucoup plus simple d’imposer l’authentification à deux facteurs ou le SSO Google que d’essayer de changer le comportement des clients.
C’est une méthode via application d’authentification, plus sûre que les SMS, mais plus contraignante pour obtenir l’adhésion des utilisateurs, ce qui a pu affecter le taux d’adoption.
Si 300 To de données clients ont été exfiltrés sans que 23andMe s’en aperçoive, cela ressemble à de la négligence. Il aurait dû y avoir des alertes, non ?
Mais même ainsi, 23andMe aurait dû avoir une détection ou des contrôles signalant de nouvelles localisations géographiques pour le stockage de chaque client. Il est peu probable qu’ils aient usurpé la destination de chaque client.
Ou bien, même pour l’accès aux données via un compte de niveau administrateur, il aurait dû y avoir une procédure d’autorisation avec piste d’audit et circuit d’approbation.
C’est incroyable de blâmer les clients payants pour masquer l’échec de la sécurité de ses propres systèmes.
On ne peut pas contrôler les utilisateurs, mais on peut contrôler sa posture de sécurité. L’attitude et le jugement de la direction de 23andMe sont lamentables.
Le produit de 23andMe, c’est l’ADN des utilisateurs, simplement emballé joliment sous une forme facile à digérer.
Si l’entreprise n’a pas détecté que des millions de dossiers étaient volés par credential stuffing, ce n’est pas non plus une meilleure excuse.
Je ne suis même pas surpris : je mourrai sans doute avant de voir une entreprise assumer la responsabilité de ses actes.
23andMe est apparu quand j’étais au lycée, et l’un de mes professeurs de sciences a consacré une heure entière de cours à expliquer pourquoi il ne fallait absolument pas utiliser ce service.
Honnêtement, c’est l’un des cours les plus utiles que j’aie jamais suivis, et grâce à ça je n’ai jamais envisagé de m’en approcher.
Je me dis que la confidentialité des données devrait être intégrée à une matière obligatoire à l’école, comme l’éducation à la santé. Cela dit, le programme officiel serait probablement dégradé par le lobbying et finirait par ne rien enseigner de réellement utile.
Qu’est-ce qui est privé dans l’ADN ?
Articles récents liés :
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - octobre 2023, 20 commentaires
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - octobre 2023, 3 commentaires
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - octobre 2023, 2 commentaires
« Les types d’informations collectées par les sociétés de tests génétiques ne sont actuellement pas protégés par la HIPAA, la loi américaine sur la protection des informations de santé. »
On dirait que les lobbyistes de l’industrie des tests génétiques ont bien fait leur travail.
Mais les données révélées par l’analyse de l’ADN, par exemple la présence ou non de maladies génétiques, devraient être des informations de santé protégées.
Il est étrange que, simplement parce qu’un cheveu a été traité, on puisse passer de « ce n’est pas une information de santé protégée » à « c’en est désormais une ».
« À partir de quel moment cela devient-il une information de santé protégée ? » serait probablement une question difficile à trancher.
À titre personnel, je pense que la protection des données liées à l’ADN nécessite un cadre distinct de la HIPAA.