Une autre histoire édifiante en matière de sécurité Web
Une patate chaude : En octobre dernier, le spécialiste de la génomique 23andMe a révélé un incident de sécurité au cours duquel des pirates informatiques avaient obtenu des informations de certains comptes d’utilisateurs. Cet aveu semble minimiser la violation, et ce n’est que maintenant que nous apprenons des détails supplémentaires sur l’incident.
À la fin de la semaine dernière, dans un dossier déposé auprès de la Securities and Exchange Commission des États-Unis, 23andMe a déclaré avoir déterminé que l’auteur de la menace dans l’incident n’avait pu accéder qu’à un très faible pourcentage (0,1 %) des comptes d’utilisateurs dans certaines circonstances. Comme le souligne TechCrunch, la société a déclaré qu’elle comptait plus de 14 millions de clients dans le monde dans un rapport sur les résultats de mai, ce qui signifie que 0,1 % représenterait environ 14 000 comptes concernés.
Au cours du week-end, la porte-parole de 23andMe, Katie Watson, a déclaré à TechCrunch que les pirates avaient accédé à des informations sur environ 5,5 millions de personnes qui avaient opté pour la fonctionnalité DNA Relatives de l’entreprise. Les données compromises incluraient les noms, les années de naissance, la quantité d’ADN partagé par un utilisateur avec ses proches, les rapports d’ascendance, etc. Le représentant a également mentionné un autre groupe d’environ 1,4 million d’utilisateurs qui ont également eu accès aux données de leur profil d’arbre généalogique.
Compte tenu des chiffres mis à jour, environ la moitié de la base d’utilisateurs de 23andMe a apparemment été touchée par l’intrus.
TechCrunch a noté que certaines informations contenues dans leur échange avec 23andMe étaient considérées comme « en arrière-plan », ce qui concerne la manière dont les informations entre un journaliste et une source sont partagées. TC a déclaré qu’il n’avait eu aucune possibilité de rejeter les conditions de 23andMe, alors ils ont continué et publié l’information. TC s’est également demandé à haute voix pourquoi 23andMe n’avait pas partagé ces chiffres dans le dossier déposé auprès de la SEC.
En octobre, 23andMe a déclaré croire que les pirates informatiques étaient en mesure d’accéder à certains comptes dans les cas où les utilisateurs recyclaient les identifiants de connexion d’autres sites qui avaient déjà été piratés dans le cadre d’un processus connu sous le nom de credential stuffing.
Le piratage de 23andMe est encore une autre histoire édifiante en matière de sécurité Web, et dont les enjeux pourraient être plus élevés compte tenu du type de données impliquées. Les données génétiques semblent être quelque chose que vous ne voulez pas tomber entre de mauvaises mains.
Crédit image : Sangharsh Lohakare, Louis Reed
