L’entreprise accusait auparavant ses clients de réutiliser leurs mots de passe
WTF ?! Il semble que les entreprises infiltrées par des pirates informatiques sans le savoir pendant des mois deviennent monnaie courante dans le monde de la technologie. Après Microsoft et HPE, le fournisseur de tests génétiques 23andMe confirme que l’intrusion subie l’année dernière, qui a conduit au vol des données de millions de clients, est passée inaperçue pendant cinq mois.
Dans sa lettre de notification obligatoire de violation déposée auprès du procureur général de Californie, 23andMe a confirmé que les pirates ont commencé à pirater les comptes clients le 29 avril 2023 et ont continué jusqu’au 27 septembre. Les cybercriminels ont passé cinq mois à forcer brutalement les comptes clients à l’aide de mots de passe et d’adresses e-mail divulgués. dans d’autres violations (credential stuffing), le tout sans que l’entreprise ne détecte ce qui se passait.
En décembre dernier, le dossier déposé par 23andMe auprès de la Securities and Exchanges Commission a révélé que les pirates avaient accédé aux informations personnelles de 14 000 personnes. Cela ne représente que 0,1 % de ses clients, mais le piratage de ces comptes a également permis aux acteurs malveillants d’accéder à des fichiers contenant des informations de profil sur d’autres utilisateurs via DNA Relatives du site, une fonctionnalité facultative qui permet de partager automatiquement certaines données client avec d’autres qui, selon 23andMe, pourraient être leurs parents.
Au total, 6,9 millions de personnes, soit environ la moitié des clients de l’entreprise, se sont vu voler leurs données. Les informations volées comprenaient le nom, l’année de naissance, la photo de profil, les étiquettes de relation, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et l’emplacement autodéclaré.
23andMe indique que certains rapports de santé dérivés du traitement d’informations génétiques, notamment les rapports de prédisposition en matière de santé, les rapports de bien-être et les rapports sur le statut de porteur, peuvent également avoir été consultés, ainsi que des informations sur l’état de santé autodéclarées et des informations dans les paramètres.
23andMe n’a pris conscience de la violation qu’en octobre lorsque les pirates ont annoncé les données volées sur un forum de piratage et sur le subreddit non officiel de 23andMe. Les données ont également été annoncées sur un autre forum de piratage en août, mais la société ne l’a pas remarqué.
L’incident a donné lieu à plus de 30 poursuites judiciaires contre 23andMe pour manquement présumé à maintenir des mesures de sécurité raisonnables. Sa seule réponse à ces actions en justice a été de blâmer les clients pour avoir réutilisé d’anciennes informations d’identification apparues dans des fuites. C’était donc de leur faute, en gros. L’entreprise a ajouté que, comme les informations volées n’incluaient pas les numéros de sécurité sociale, les numéros de permis de conduire, ni aucune information de paiement ou financière, elles ne pouvaient pas être utilisées pour causer un préjudice « pécuniaire ».
Plus tôt cette semaine, HPE a déclaré que le groupe de piratage russe Cozy Bear avait accédé et exfiltré des données de son environnement de messagerie basé sur le cloud pendant des mois sans que l’entreprise ne le détecte. Le même groupe a également frappé le réseau de messagerie d’entreprise de Microsoft pendant un mois en novembre 2023.