Des pirates informatiques ont volé les données d’ascendance et personnelles de 6,9 millions de clients du laboratoire de tests génétiques 23andMe, selon des chiffres mis à jour lundi après que la société a divulgué pour la première fois la violation de données début octobre.
La fuite révélée, qui a compromis les rapports d’ascendance, les données ADN, les dates de naissance, les lieux et les photos de profil, a touché près de la moitié des 14 millions de clients de 23andMe. Début octobre, 23andMe affirmait que des pirates avaient accédé aux données personnelles d’environ 14 000 clients, soit 0,1% de ses utilisateurs.
La faille a été découverte pour la première fois en octobre lorsque les données d’un million d’utilisateurs d’origine juive ashkénaze, ainsi que de 100 000 utilisateurs chinois, ont été mises en vente sur un forum de piratage bien connu. Les enregistrements présumés de quatre millions de personnes supplémentaires ont été mis en vente deux semaines plus tard, selon TechCrunch, qui a été le premier à signaler la violation.
Selon 23andMe, la violation de données a été causée par la réutilisation de mots de passe par des clients, ce qui a permis aux pirates informatiques de profiter des mots de passe divulgués lors des violations de données d’autres entreprises. La fuite s’est propagée à des millions d’autres utilisateurs, car la fonctionnalité DNA Relatives fournit à la fois les informations du titulaire du compte et de tous ses proches.
« Nous n’avons aucune indication qu’il y ait eu une violation ou un incident de sécurité des données au sein de nos systèmes, ou que 23andMe soit la source des informations d’identification du compte utilisées dans ces attaques », a déclaré un porte-parole de l’entreprise.
En réponse, 23andMe demande à tous les utilisateurs de réinitialiser leur mot de passe et de s’inscrire à une authentification à deux facteurs qui utilise à la fois un mot de passe et une vérification sur un autre appareil. Même si l’entreprise avait encouragé ses clients à protéger leurs comptes avec un système d’authentification multifacteur en 2019, ce n’était pas une obligation.
Selon un dossier de la Securities and Exchange Commission, daté du 10 octobre et mis à jour samedi, 23andMe a déclaré qu’il s’attend à perdre entre 1 et 2 millions de dollars en « dépenses ponctuelles » liées à la violation.
