Est-ce que vos données génétiques sont vraiment en sécurité ? La société 23andMe, connue pour ses kits de test ADN, a confirmé à BleepingComputer que les données de ses utilisateurs circulent sur les forums de hackers. Comment cette fuite a-t-elle pu se produire et quelles sont ses conséquences potentielles ?
Tout a commencé avec une attaque par bourrage d’identifiants. Une méthode qui utilise des informations d’utilisateur déjà compromises (comme les noms d’utilisateur et les mots de passe) provenant d’une organisation, qu’un pirate obtient et tente de réutiliser avec une seconde organisation. Dans ce cas, 23andMe. Etant donné la nature de l’attaque par bourrage d’identifiants, il ne semble pas que les systèmes internes de l’entreprise aient été violés. Les comptes ont plutôt été piratés de manière éparpillée. Les auteurs de cette attaque semblent avoir obtenu des informations assez sensibles à partir des comptes compromis, tels que des résultats de tests génétiques, des photos, des noms complets et la localisation géographique, entre autres données.
L’ampleur de l’attaque est encore inconnue, mais son impact a probablement été exacerbé par la fonctionnalité « ADN Relatives » de 23andMe.
Selon BleepingComputer, la première fuite concernait « 1 million de lignes de données pour les personnes ashkénazes ». À partir du 4 octobre, des données étaient proposées à la vente en gros, en lots de 100, 1 000, 10 000 ou 100 000 profils. Le pirate a apparemment utilisé la fonctionnalité ‘ADN Relatives’ pour trouver des membres de la famille, ce qui a permis de recueillir des données bien plus sensibles. Selon la même page de FAQ, « Le nombre de parents listés […]. grossit au fil du temps à mesure que plus de personnes rejoignent 23andMe. » Pour l’exercice fiscal 2023, la société a déclaré avoir « génotypé » environ 14 millions de clients.
Depuis que 23andMe est devenue publique en 2021, l’entreprise a fait l’objet d’un examen supplémentaire concernant ses pratiques de protection des données. Et ceci est justifié, car elle traite des données médicales sensibles provenant d’échantillons de salive, comprenant des prédispositions pour des maladies telles que la maladie d’Alzheimer, le diabète de type 2 et même le cancer. Sur son site web, la société affirme qu’elle « dépasse » les normes de protection des données pour son secteur.
Le piratage de 23andMe soulève de nombreuses questions et inquiétudes. Certes, l’entreprise prétend adhérer aux normes élevées de protection des données de l’industrie, mais est-ce suffisant ? L’incident met en lumière les risques inhérents à la fourniture de données personnelles, en particulier de données génétiques, à des entreprises. La question reste donc : vos données génétiques sont-elles vraiment en sécurité ?
Source : Engadget
