La société 23andMe, spécialisée dans l’ADN, reconnaît que des pirates ont accédé aux données de 6,9 millions d’utilisateurs, ce qui va au-delà de ce qui avait été annoncé initialement
Le problème de confier des données intimes à de telles entreprises.
Les questions relatives à la protection de la vie privée ont été une nouvelle fois mises sous les feux de la rampe à la suite d’une importante violation de données chez 23andMe, l’entreprise leader dans le domaine des tests génétiques.
Nous avons récemment rapporté que l’entreprise avait reconnu qu’une faille de sécurité avait compromis les données personnelles d’environ 14 000 clients. Dans ce qui semblait être un effet d’entraînement, les pirates ont eu accès à “une quantité substantielle de fichiers contenant des informations sur les profils ancestraux d’autres utilisateurs”.
Toutefois, malgré la gravité de la violation, l’ampleur des dégâts n’a pas été entièrement révélée par l’entreprise au début du mois d’octobre, lorsque la violation a été mise au jour.
En réalité, la situation est encore pire. Comme l’a rapporté TechCrunch, l’ampleur de la faille est apparue clairement lorsque, samedi, Katie Watson, porte-parole de 23andMe, a révélé à TechCrunch que près de 7 millions d’utilisateurs avaient vu leurs données exposées dans le cadre de la faille – bien plus que les 14 000 initialement signalés.
Watson a confirmé que la violation concernait les données personnelles d’environ 5,5 millions d’utilisateurs qui avaient consenti à participer à la fonction “DNA Relatives” de 23andMe. Les données compromises comprenaient les noms des utilisateurs, leurs années de naissance, les étiquettes de relation, le pourcentage d’ADN partagé avec les parents, les rapports ancestraux et les lieux déclarés par les utilisateurs.
M. Watson a ajouté qu’un public d’environ 1,4 million de personnes, qui avaient également opté pour la fonction “DNA Relatives”, a vu les informations de son profil d’arbre généalogique faire l’objet d’un accès non autorisé.
Sans révéler de chiffres précis, M. Watson a laissé entendre que cet accès illicite englobait des détails tels que les noms d’affichage, les années de naissance, les lieux déclarés, les étiquettes de relations et les préférences de divulgation des utilisateurs. L’entreprise a affirmé que certaines parties de l’e-mail étaient “en arrière-plan”, ce qui laisse supposer que les deux parties ont convenu de conditions préalables. TechCrunch a toutefois décidé d’imprimer la réponse, n’ayant pas eu la possibilité de rejeter ces conditions.
Début octobre, une personne se présentant comme le pirate a annoncé sur un forum de piratage populaire qu’elle avait réussi à voler des informations sur l’ADN des utilisateurs de 23andMe. Il a présenté les données volées d’un million d’utilisateurs d’origine juive ashkénaze et de 100 000 utilisateurs chinois, en fixant le prix des données entre 1 et 10 dollars par compte. Près de deux semaines plus tard, un autre vol présumé de 4 millions d’enregistrements a été annoncé par le même pirate sur la même plateforme.
Il est intéressant de noter que TechCrunch a découvert qu’un autre pirate, sur un autre forum, avait fait la promotion d’un prétendu ensemble de données volées à des clients de 23andMe près de deux mois avant l’annonce rendue publique.
Source : Reclaim The Net – Traduit par Anguille sous roche
