1 points par GN⁺ 2023-12-06 | 1 commentaires | Partager sur WhatsApp
  • Au départ, on pensait qu’environ 14 000 comptes avaient été directement compromis, mais l’ampleur totale a grimpé à 6,9 millions de personnes via le réseau DNA Relatives
  • Environ 5,5 millions d’utilisateurs ayant opté pour cette fonctionnalité ont vu exposés leur nom, leur année de naissance, les libellés de parenté, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et leur localisation déclarée
  • Environ 1,4 million d’autres personnes ont également vu les informations de leur profil Family Tree consultées, notamment le nom affiché, les libellés de parenté, la localisation et le choix ou non de partager leurs informations
  • 23andMe indique que la réutilisation de mots de passe par les clients a permis l’accès aux comptes à l’aide de mots de passe issus de fuites sur d’autres services
  • La compromission d’un seul compte ayant entraîné l’exposition des informations de proches connectés, l’incident a touché près de la moitié des 14 millions de clients déclarés par 23andMe

Une fuite de données 23andMe portée à 6,9 millions de personnes

  • 23andMe a annoncé vendredi que des hackers avaient accédé aux données personnelles d’environ 0,1 % de ses clients, soit près de 14 000 personnes
  • À l’époque, l’entreprise avait indiqué qu’à partir de ces comptes, il était aussi possible d’accéder à un « nombre significatif » de fichiers contenant les informations d’ascendance d’autres utilisateurs, sans toutefois préciser combien de ces « autres utilisateurs » étaient concernés
  • Par la suite, un porte-parole de 23andMe a confirmé que le nombre total de personnes touchées s’élevait à 6,9 millions
  • Ce chiffre représente près de la moitié des 14 millions de clients totaux déclarés par 23andMe

Informations exposées via DNA Relatives et Family Tree

  • Environ 5,5 millions de personnes concernées sont des utilisateurs ayant activé la fonctionnalité DNA Relatives de 23andMe
    • Cette fonctionnalité permet aux clients de partager automatiquement certaines données avec d’autres utilisateurs
    • Les données consultées par les hackers comprenaient le nom, l’année de naissance, les libellés de parenté, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et la localisation déclarée
  • Environ 1,4 million d’autres utilisateurs ayant activé DNA Relatives ont également vu les informations de leur profil Family Tree consultées
    • Les informations concernées incluaient le nom affiché, les libellés de parenté, l’année de naissance, la localisation déclarée et le fait que l’utilisateur ait ou non choisi de partager ses informations
  • DNA Relatives repose sur un système de mise en relation entre utilisateurs et leurs proches, si bien que le piratage d’un seul compte peut exposer non seulement les données du titulaire du compte, mais aussi les données personnelles de proches connectés
  • Cette structure interconnectée explique pourquoi l’ampleur de l’incident a largement dépassé le nombre de comptes directement compromis

Publications sur des forums de hackers et indices sur l’authenticité des données

  • Début octobre, un hacker a affirmé sur un forum de piratage bien connu avoir volé les informations ADN d’utilisateurs de 23andMe
  • Comme preuve de la compromission, il a publié des données prétendument liées à 1 million d’utilisateurs d’ascendance juive ashkénaze et à 100 000 utilisateurs chinois
  • Ce hacker a proposé de vendre les données entre 1 et 10 dollars par compte
  • Deux semaines plus tard, le même hacker a annoncé sur le même forum des données supplémentaires présentées comme 4 millions d’enregistrements
  • Des éléments montrent aussi que, sur un autre forum de piratage, un lot présenté comme des données clients de 23andMe avait déjà été mis en vente deux mois avant les annonces largement relayées
  • Une analyse de données divulguées plusieurs mois plus tôt a montré que certains enregistrements correspondaient à des données génétiques publiées en ligne par des amateurs et des généalogistes
    • Les deux ensembles de données avaient des formats différents, mais partageaient certaines données utilisateur uniques ainsi que des données générales identiques
    • Cela laisse penser qu’au moins une partie des données divulguées par les hackers pourrait bien être de véritables données clients de 23andMe

La cause de la compromission selon 23andMe

  • Lors de la divulgation de l’incident en octobre, 23andMe a attribué la cause à la réutilisation de mots de passe par ses clients
  • Les hackers ont pu utiliser des mots de passe divulgués lors de fuites de données d’autres entreprises pour accéder par force brute aux comptes des victimes
  • L’accès à un seul compte s’est ensuite propagé, via le réseau DNA Relatives, vers les informations d’autres utilisateurs, ce qui a considérablement élargi l’ampleur de la compromission

1 commentaires

 
GN⁺ 2023-12-06
Commentaires sur Hacker News
  • Cet incident est le parfait contre-exemple à l’argument « pourquoi tu te soucies autant de la vie privée ? Le fait que je partage mes données ne te concerne pas, et si ça ne te plaît pas, tu n’as qu’à ne pas le faire »
    Si un proche met en ligne ses informations génétiques sur 23andMe, des informations me concernant sont révélées indépendamment de mon choix
    J’espère que les gens comprendront que cela s’applique tout autant à la collecte de données comportementales sur des personnes qui partagent le même contexte

    • Je suis d’accord avec cette objection en elle-même, mais je ne suis pas sûr que les gens s’expriment vraiment de cette façon
      Ce qu’on entend plus souvent, c’est simplement « pourquoi tu te soucies autant de la vie privée ? », et bien souvent ils ne comprennent pas, à la base, pourquoi la vie privée est importante
      Même cette affaire aura du mal à constituer une réfutation plus forte que d’autres fuites tant qu’elle ne montrera pas de préjudice concret
      Je me demande ce qui, selon vous, va réellement arriver aux personnes dont les données d’ascendance ont été volées cette fois-ci
    • Personnellement, je pense que la fuite d’Equifax était un meilleur contre-exemple
      Avec 23andMe, les clients pouvaient au moins décider d’utiliser ou non le service et en peser les avantages et les inconvénients, tandis qu’avec Equifax ils ont été intégrés de force à un système d’évaluation qui influe sur tout, de la demande de prêt à la candidature à un emploi, et l’entreprise a absorbé des données vendues par des tiers pour détenir mes informations personnelles
      Après la fuite, il n’y a eu aucun recours réellement efficace et, malgré un risque très élevé d’usurpation d’identité, l’entreprise a préféré proposer un simple « suivi de crédit » de pure forme plutôt que de reconnaître ses torts
      Au final, les agences d’évaluation du crédit qui ont créé le problème partagent et diffusent des informations sans consentement tout en n’assumant aucune responsabilité
      À mes yeux, c’est une logique ignorante et autodestructrice, où la désinvolture face à la vie privée finit par placer aussi les autres dans une situation encore pire
    • Je défends la vie privée et je tends à éviter le partage, quitte à accepter plus d’inconvénients que la plupart des gens, mais je pense que le choix individuel compte aussi
      J’ai du mal à imaginer un modèle de protection de la vie privée qui permettrait d’empêcher quelqu’un d’autre de partager ses propres informations au seul motif qu’une partie de ces informations recoupe les miennes
    • Pour être précis, il n’a pas été rapporté que des données génomiques aient été volées
      Les données divulguées semblent plutôt relever de la généalogie et des liens de parenté
      Les données volées comprendraient les noms, les années de naissance, les libellés de relation, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et les lieux auto-déclarés
    • D’accord
      De la même manière, il suffit de demander « combien gagnes-tu ? », « est-ce que je peux lire ton courrier ? », « est-ce que je peux avoir les clés de chez toi ? »
      Certaines personnes ont du mal avec les idées abstraites, mais dès qu’on les transpose dans le monde physique, tout le monde comprend immédiatement le malaise
  • Je me demande dans quelle mesure cela est lié au changement des conditions d’utilisation envoyé le jour de Thanksgiving, au moment idéal pour se perdre dans la boîte de réception de tout le monde
    Ce changement cherche à interdire les actions collectives, impose une procédure « informelle » de 60 jours avant toute action en justice et pousse vers un arbitrage contraignant
    D’après les clauses rédigées par les avocats de 23andMe, en tant que client, on n’a pratiquement plus de véritables droits légaux

    • Est-ce que ce serait valable devant un tribunal ?
      En Allemagne au moins, les contrats excessivement favorables à une seule partie sont annulés lorsqu’ils arrivent devant un juge
    • Je viens de recevoir la mise à jour par e-mail, et il semble possible de refuser les nouvelles conditions
      Je ne sais pas très bien quelles en sont les conséquences
      « Nous vous encourageons à lire l’intégralité des nouvelles conditions. Si vous n’acceptez pas ces conditions, veuillez nous en informer dans les 30 jours suivant la date de réception de cet e-mail. Dans ce cas, les conditions de service existantes continueront de s’appliquer. Si vous ne nous informez pas dans les 30 jours, vous serez considéré comme ayant accepté les nouvelles conditions. »
      E-mail de notification : legal@23andme.com
    • Si 6,9 millions d’utilisateurs engagent une procédure d’arbitrage, 23andMe pourrait bien finir par préférer une action collective
  • Je me demande si quelqu’un pense qu’il sera encore possible, à l’avenir, de préserver une confidentialité qui ait un sens concret.
    Les algorithmes de machine learning apprennent déjà à identifier des personnes uniquement à leur démarche, sans reconnaissance faciale, et on va aussi vers le déchiffrement du texte saisi à partir du seul bruit de frappe au clavier.
    Avec tous les indices tirés de l’ensemble des données publiques et des algorithmes suffisamment avancés, y aura-t-il encore un moyen de préserver ce que nous considérons aujourd’hui comme une vie privée raisonnable, sans appliquer à la lettre des mesures extrêmes ?
    Je ne cherche pas à porter un jugement de valeur ; c’est simplement la tendance en cours qui me semble aller dans ce sens.

    • Ce sera probablement difficile, mais ce n’est pas une raison pour renoncer à discuter de ce à quoi la vie privée devrait ressembler à l’avenir.
      Si on ne fait rien, ils gagnent ; mais si on en débat publiquement, il y a au moins une chance de mettre en place des garde-fous.
      Bien sûr, pour être honnête, tout est foutu et EvilCorp va gagner, donc peut-être qu’on ne fait que s’épuiser à se battre et devenir fous nous-mêmes.
      Toute résistance est inutile.
    • Il y a une dizaine d’années, je connaissais des gens qui travaillaient sur des algorithmes de vision par ordinateur capables de reconnaître les personnes non pas par leur visage, mais par la forme de leurs oreilles, leur démarche et leurs caractéristiques corporelles.
      C’était parce que des entreprises comme Fortinet voulaient créer des « portiers automatiques », avec des caméras installées à l’entrée d’immeubles ou de résidences pour scanner et analyser les passants.
      Je n’ai presque jamais vu de sens éthique chez les personnes impliquées.
      Ce qu’il faut, c’est une législation forte qui consacre le droit à l’oubli.
      Je ne pense pas que l’automatisation de l’identification soit intrinsèquement mauvaise, mais les tentatives des entreprises d’identifier autant d’êtres humains que possible sans consentement sont, elles, profondément problématiques.
    • Le gouvernement britannique étudiait donc déjà, il y a des décennies, des démarches permettant de préserver la vie privée : https://youtu.be/eCLp7zodUiI
    • Je suis d’accord, mais la vie privée est aussi une abstraction posée sur ce qui inquiète réellement les gens.
      La réponse à « pourquoi voulez-vous cacher cette information ? » revient au bout du compte à la peur que « [une personne ou un groupe] puisse utiliser [des données privées] pour produire [une mauvaise conséquence] à mon égard ».
      Ce qui préoccupe vraiment les gens, ce ne sont pas les données en elles-mêmes, mais le risque de mauvaises conséquences.
      Si cette tendance est la bonne, l’attention devrait porter sur la prévention des déséquilibres de pouvoir asymétriques dans les transactions sociales qui peuvent produire de telles mauvaises conséquences.
    • Personnellement, je ne pense pas que ce soit tenable.
      Avant, l’idée même que des documents confidentiels puissent fuiter me rendait fou ; mais en voyant à quel point les données personnelles sont mal gérées, j’ai compris que c’était quasiment garanti.
      Même en Australie, où les lois sur la vie privée sont plutôt bonnes, le gros piratage d’Optus a entraîné le vol des informations de carte de crédit d’environ la moitié de la population, et celui de Medibank a exposé les données d’une grande partie des clients de l’assurance santé privée.
      En demandant un prêt immobilier, j’ai découvert que même les petits courtiers en prêts hypothécaires du quartier reçoivent chaque année par e-mail des centaines, voire des milliers, de documents d’identité sensibles, et ne les suppriment pas une fois la transaction terminée.
      Beaucoup d’entreprises australiennes vérifient l’identité avec seulement le nom, l’adresse et la date de naissance, des informations qu’on peut généralement trouver facilement en cinq minutes de recherche.
      Pendant des années, j’avais configuré sur mon compte Telstra un PIN censé empêcher les changements administratifs, mais un jour, quand j’ai appelé, ils ont traité ma demande sans même me demander le mot de passe.
      Pour que la vie privée soit respectée, je pense qu’il n’y a pas d’autre solution que de faire porter la responsabilité de la fraude à la véritable victime : l’entreprise.
      La vieille blague selon laquelle « on m’a volé mon identité » est en réalité trompeuse : l’identité n’a pas été volée, c’est le processus de vérification de l’entreprise qui a échoué, et elle rejette la faute pour éviter d’assumer la perte.
      C’est pourquoi, aujourd’hui, je n’utilise quasiment que des cartes de crédit.
      En cas d’utilisation frauduleuse, je peux demander un chargeback, et c’est pratiquement le seul mécanisme qui empêche réellement un accès non autorisé à mon argent.
  • Il m’est arrivé récemment quelque chose d’assez glaçant.
    Un hôpital où j’étais allé quelques mois plus tôt m’a appelé pour me demander de participer à un programme d’analyse ADN.
    Ils m’ont dit : « Le mieux, c’est que vous n’avez rien à faire. Nous pouvons utiliser l’échantillon de sang prélevé la dernière fois. »
    J’ai évidemment refusé, mais le fait qu’ils aient conservé, sans m’en informer, un échantillon biologique lié à moi, et qu’ils puissent ensuite procéder à une analyse ADN, me paraît absurde.
    Cela ressemble à une preuve que les lois américaines sur la vie privée n’existent pratiquement pas.
    Dans l’UE, on ne peut pas conserver des échantillons congelés sans consentement, et les échantillons non congelés ne sont autorisés que pendant quelques jours environ.

    • En Suède, il existe un registre d’échantillons sanguins de toutes les personnes nées en Suède depuis 1975 : https://sv.wikipedia.org/wiki/PKU-registret
      L’article Wikipédia n’est qu’en suédois.
      De manière prévisible, ou peut-être intéressante, la police n’a pas eu accès à ces données jusqu’à ce qu’un ministre soit assassiné en 2003, après quoi elle a obtenu l’échantillon d’un suspect.
      À ma connaissance, il n’a pas été utilisé depuis.
      On peut être cynique, mais jusqu’à présent l’usage du registre par la police ne s’est pas installé dans les pratiques et reste contrôlé par les tribunaux.
    • Malgré tout, l’hôpital a appelé pour demander l’autorisation de l’utiliser et, s’il a respecté la loi, il n’aurait pas effectivement utilisé l’échantillon.
      Cela veut donc dire qu’il existe bien des lois sur la vie privée, non ?
      C’était peut-être aussi une étape dans un processus de tri d’anciens résultats ou échantillons.
  • Quelque chose ne colle pas
    « 23andMe a déclaré que la fuite de données était due à la réutilisation de mots de passe par les clients », mais si 14 000 comptes ont été compromis d’un coup, d’où venaient ces mots de passe ?
    N’y a-t-il pas eu une autre fuite liée, comme LastPass ?
    Et si les hackers ont accédé aux informations personnelles de 6,9 millions de personnes via la fonctionnalité « DNA Relatives », cela voudrait dire qu’il y avait environ 492 parents uniques pour chacun des 14 000 comptes initialement compromis
    Qu’est-ce que je rate ?

    • Le fait que 14 000 comptes aient été compromis n’est pas très surprenant en soi, à part le problème technique consistant à ne pas avoir limité ni détecté les tentatives de connexion successives sur différents comptes
      Les attaquants ont peut-être extrait les données via un vaste réseau distribué, mais il est surtout probable qu’il n’y ait eu ni détection ni protection au départ
      Cela dit, quand je me suis connecté pour vérifier le nombre de parents sur mon compte, 23andMe a bloqué ma connexion et exigé une réinitialisation au motif d’une réutilisation de mot de passe
      J’ai toujours utilisé un mot de passe très robuste pour ce compte, je ne l’ai jamais réutilisé ailleurs, et la double authentification était activée
      L’entreprise elle-même ne semble pas totalement à l’aise avec l’explication selon laquelle la cause serait des mots de passe réutilisés
      Après avoir réinitialisé ce mot de passe que je n’avais jamais réutilisé, j’ai vérifié et le panneau des parents ADN comptait 60 pages, avec 25 personnes par page, soit 1 500 parents récupérables au total
      En aspirant cela depuis 14 000 comptes aléatoires, on peut constituer un réseau de taille considérable
    • Ce n’est pas du tout surprenant
      De grandes listes regroupant plusieurs fuites de mots de passe passées sont disponibles publiquement, et elles sont faciles d’accès non seulement pour les attaquants, mais pour n’importe qui
      Il est tout à fait raisonnable que, parmi plus de 14 millions d’utilisateurs, 14 000 personnes, soit 0,1 %, aient réutilisé un mot de passe compromis ailleurs
      D’autant plus si ces mots de passe ne sont pas explicitement détectés et invalidés, comme dans la discussion HN d’hier sur le travail de Troy Hunt
    • S’il s’agit d’une fuite due à la réutilisation de mots de passe, cela doit vouloir dire que des couples nom d’utilisateur/mot de passe ont fuité ailleurs
      Si les noms d’utilisateur et mots de passe venaient d’une fuite de 23andMe, ce ne serait pas un problème de réutilisation, mais simplement le fait d’avoir trouvé et craqué la liste des identifiants de 23andMe
      Il n’y a absolument rien de surprenant à ce que 14 000 utilisateurs de 23andMe se retrouvent dans une liste de fuites d’autres sites web, ou dans une liste agrégée de fuites de plusieurs sites
    • Si ma situation sur 23andMe est proche de la moyenne en termes de nombre de parents ADN et de vulnérabilité de mes proches au piratage, c’est plausible
      En cherchant, on voit que 23andMe compte 14 millions de clients, et que 14 000 comptes compromis signifie qu’un compte sur 1 000 a été piraté
      Ma liste de parents ADN affiche un peu plus de 1 500 personnes
      Si chaque compte avait une probabilité de 1/1000 d’être piraté, la probabilité qu’aucun de mes parents ne l’ait été est de (1-1/1000)^1500 = 0,223
      La probabilité qu’au moins un parent l’ait été est donc de 0,777
      En supposant que je sois représentatif, on s’attendrait à ce qu’environ 10,8 millions de personnes aient un compte piraté parmi leurs parents, ce qui semble assez proche du chiffre de 6,9 millions
  • Je n’ai jamais sérieusement envisagé d’utiliser 23andMe
    Pas à cause des hackers, mais à cause de la manière dont le gouvernement pourrait utiliser ces informations
    Je n’ai pas envie d’être responsable du fait qu’un parent quelconque soit soupçonné d’un crime simplement parce que je suis curieux de mon arbre généalogique

    • Grâce à 23andMe, j’ai découvert que mon père n’était pas mon père biologique, que j’avais une demi-sœur et tout un grand groupe de proches dont j’ignorais l’existence
      Je suis bien conscient des inquiétudes liées à la vie privée et aux informations personnellement identifiables, mais pour moi cela en valait clairement la peine : j’ai mieux compris qui je suis et trouvé des proches qui m’ont accueilli très chaleureusement
      Au final, c’est un compromis
    • Mes données 23andMe m’intéressent vraiment, mais je me suis dit qu’elles finiraient un jour par être piratées ou revendues à une organisation peu fiable cherchant à gagner rapidement de l’argent en vendant ses utilisateurs
      Je le ferais si, après le test et l’envoi des résultats, les données et informations de test côté entreprise étaient détruites, ou s’il existait un test à domicile où les données ne quittent pas la maison
      J’ai du mal à comprendre pourquoi les entreprises continuent de conserver ces données
      C’est une responsabilité énorme
      Dans ce cas, c’est peut-être à cause de la fonction d’identification des liens de parenté, mais je me demande si cette fonctionnalité vaut vraiment le risque
    • Y a-t-il eu des cas où ces bases de données ont été utilisées pour porter des accusations autres que meurtre ou viol ?
      Les affaires que j’ai vues résolues grâce à cette technologie sont du genre où je serais volontiers content si ce que j’ai fait contribuait à arrêter quelqu’un qui commettait des actes gravement répréhensibles
    • Si c’est votre seule inquiétude, il faudrait lire davantage sur les nazis
      Il suffit d’imaginer ce qu’ils auraient fait s’ils avaient mis la main sur une base de données génétiques
  • Par hasard, hier, dans un autre fil, j’ai lu un excellent commentaire d’adameasterling sur les attaques par bourrage d’identifiants [1]
    Il disait : « Troy Hunt est vraiment quelqu’un de précieux. Si vous développez des applications web, vous n’avez aucune excuse pour ne pas vous protéger contre les attaques par bourrage d’identifiants. La meilleure défense est probablement la double authentification, mais comparer les mots de passe à la base de données de mots de passe hachés de Hunt est aussi une très bonne solution, et ne demande aucun effort supplémentaire à l’utilisateur »
    Ce commentaire date de 60 jours, mais citait déjà 23andMe [2] comme exemple, et cette affaire est aussi mentionnée dans l’article de TechCrunch
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • À ce stade, j’ai l’impression que toute entreprise qui collecte des données finira un jour par être piratée
    Ce n’est pas une question de savoir si cela arrivera, mais quand

    • Sauf très bonne raison, les sanctions devraient être assez fortes pour empêcher les sites et applications de collecter autre chose qu’une adresse e-mail
      Vouloir envoyer des supports marketing n’est pas une bonne raison
    • Si le gouvernement veut obtenir ou modifier les données, il n’y a même pas besoin de piratage
    • Ce n’est pas parce qu’il est difficile de se protéger
      C’est parce qu’investir dans la sécurité n’est généralement pas une priorité business
      Cela fonctionne ainsi non seulement au niveau de la direction, mais aussi pour les équipes opérationnelles, via les obligations et les incitations
      La plupart de ces gros piratages proviennent de menaces bien connues qu’un audit ordinaire mené de bonne foi aurait permis de détecter
  • « Bonne nouvelle : nous proposons désormais un service de surveillance génomique. Pour seulement 79,99 $ par mois, vous recevrez une alerte chaque fois que quelqu’un tentera d’accéder à votre dossier génétique ! » — 23andMe

  • « Si vous n’avez rien à cacher, qu’avez-vous à craindre ? »
    Ce qui me fait peur, ce sont les imbéciles en position de pouvoir
    Le rapprochement ADN comme technique de résolution d’enquêtes a toujours été très problématique
    « Les preuves ADN ne sont pas aussi fiables que beaucoup le croient »
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    « Les fausses promesses des tests ADN »
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    « Comment les preuves ADN médico-légales peuvent mener à des condamnations injustifiées »
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/