23andMe confirme que des hackers ont volé les données d’ascendance de 6,9 millions d’utilisateurs

 (techcrunch.com)
1 points par GN⁺ 2023-12-06 | 1 commentaires | Partager sur WhatsApp

Piratage de 23andMe : confirmation du vol des données d’ascendance de 6,9 millions de personnes

  • La société de tests génétiques 23andMe a annoncé que des hackers avaient accédé aux données personnelles de clients, notamment aux informations personnelles d’environ 14 000 personnes ainsi qu’à un grand nombre de fichiers contenant des informations de profil sur l’ascendance d’autres utilisateurs.
  • Les hackers ont accédé aux informations personnelles d’environ 5,5 millions de personnes ayant accepté la fonctionnalité DNA Relatives de 23andMe. Les données volées comprenaient les noms, l’année de naissance, les libellés de parenté, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et les localisations déclarées par les utilisateurs.
  • En outre, les informations de profil de l’arbre généalogique d’environ 1,4 million d’utilisateurs ayant accepté la fonctionnalité DNA Relatives ont également été consultées, notamment le nom affiché, les libellés de parenté, l’année de naissance, la localisation déclarée par l’utilisateur et le choix de partage des informations.

Publicité de la fuite de données sur des forums de hackers

  • Début octobre, un hacker a affirmé sur un forum de piratage bien connu avoir volé les informations ADN d’utilisateurs de 23andMe. Il a publié les données de 1 million de descendants juifs ashkénazes et de 100 000 utilisateurs chinois, et demandait entre 1 et 10 dollars pour les données de comptes individuels.
  • Par la suite, le même hacker a proposé 4 millions d’enregistrements supplémentaires sur le même forum, tandis que TechCrunch a découvert qu’un autre hacker faisait déjà la promotion, deux mois plus tôt, de données clients 23andMe volées sur un autre forum de piratage.
  • Les données divulguées il y a quelques mois et analysées par TechCrunch correspondaient en partie à des enregistrements de personnes ayant publié en ligne, à titre de loisir, des informations de génétique, ce qui suggère que les données diffusées par le hacker étaient au moins en partie de vraies données de clients 23andMe.

Une fuite provoquée par la réutilisation des mots de passe

  • Dans sa communication publiée en octobre, 23andMe a indiqué que la fuite de données était due à la réutilisation des mots de passe par les clients.
  • Les hackers ont pu compromettre les comptes des victimes par force brute en utilisant des mots de passe déjà exposés lors de fuites de données dans d’autres entreprises.
  • Comme la fonctionnalité DNA Relatives met les utilisateurs en relation avec leurs proches, le piratage d’un seul compte permettait de voir non seulement les données personnelles du titulaire du compte, mais aussi celles de ses proches, ce qui a augmenté le nombre de victimes.

L’avis de GN⁺

Le point le plus important de cet article est que le service de tests génétiques 23andMe a subi une fuite de données de grande ampleur. Cette affaire révèle que les données d’ascendance d’environ 6,9 millions d’utilisateurs ont été volées par des hackers, soit près de la moitié des clients de 23andMe. La fuite est attribuée à la réutilisation des mots de passe, ce qui rappelle une fois de plus l’importance de la sécurité en ligne. Cet article est particulièrement intéressant car il montre à quel point les informations génétiques personnelles sont des données sensibles, et comment elles peuvent tomber entre de mauvaises mains. Cela peut aussi contribuer à renforcer la sensibilisation du public à la protection de la vie privée et à la cybersécurité.

À lire aussi

1 commentaires

 
GN⁺ 2023-12-06
Avis sur Hacker News

  • Importance de la protection de la vie privée

    • Souligne que le fait qu’un proche partage ses données génomiques via un service comme 23andMe peut avoir un impact sur l’exposition de vos propres informations.
    • Espère que la collecte de données comportementales pourra aussi être reconnue comme ayant des effets sur d’autres personnes ayant des caractéristiques communes.

  • Problème de mise à jour des conditions d’utilisation de 23andMe

    • La mise à jour des conditions d’utilisation annoncée à Thanksgiving interdit les recours collectifs, impose une procédure informelle de 60 jours avant toute action en justice et exige un arbitrage contraignant.
    • Cela semble avoir été rédigé par les avocats de 23andMe de façon à ce que les clients n’aient pratiquement aucun droit effectif.

  • Questions sur l’avenir de la vie privée

    • Les algorithmes de machine learning évoluent au point de pouvoir identifier des personnes à partir de leur démarche et décoder du texte à partir du seul bruit d’un clavier.
    • Exprime la difficulté de préserver un niveau raisonnable de vie privée avec des données publiques et des algorithmes de plus en plus avancés.

  • Expérience d’une demande de participation à un programme d’analyse ADN d’un hôpital

    • Un hôpital a proposé d’utiliser des échantillons de sang déjà collectés auparavant pour réaliser une analyse ADN.
    • Présenté comme un exemple montrant qu’aux États-Unis, les lois sur la protection de la vie privée sont pratiquement inexistantes, alors qu’en Europe il n’est pas possible de conserver des échantillons sans consentement.

  • Soupçons autour de la fuite de données de 23andMe

    • 14�00 comptes ont été compromis en une fois, et les hackers ont accédé aux informations personnelles de 6,9 millions de personnes via la fonctionnalité DNA Relatives.
    • Cela signifie que chaque compte disposait en moyenne d’informations sur 492 proches uniques.

  • Scepticisme personnel vis-à-vis de l’utilisation de 23andMe

    • Ne pas envisager d’utiliser le service par inquiétude quant à la manière dont un gouvernement, plutôt que des hackers, pourrait exploiter ces informations.

  • Liens vers des actualités récentes sur 23andMe

    • Fournit des liens vers des articles sur des fuites de données et incidents de piratage liés à 23andMe survenus en octobre et décembre 2023.

  • Discussion sur le credential stuffing

    • Souligne que les développeurs d’applications web doivent mettre en place des protections contre le credential stuffing.
    • Mentionne que l’utilisation de la base de données de mots de passe hachés de Troy Hunt constitue une bonne mesure de défense.

  • Possibilité de piratage pour les entreprises qui collectent des données

    • Exprime l’avis que toute entreprise qui collecte des données finira tôt ou tard par se faire pirater.

  • Possibilité d’un recours collectif pour les personnes n’ayant pas utilisé 23andMe

    • Pose la question de savoir si l’on peut faire valoir un droit à la protection de la vie privée même lorsqu’un proche a utilisé 23andMe.