Quelle est l’ampleur réelle de la brèche de sécurité qui a frappé 23andMe, la société de tests génétiques américaine? Le vendredi, la société a annoncé qu’environ 14 000 comptes clients avaient été compromis. Mais derrière ce chiffre réside une cascade de questions urgentes.
Comment les hackers ont-ils exploité ces comptes et quel genre d’informations ont-ils pu voler? Selon la firme, seulement 0,1% de sa base clients a été touchée, mais cela équivaut à environ 14 000 comptes vu que 23andMe possède plus de 14 millions de clients à travers le monde. Existe-t-il des risques que les données concernant la santé des individus soient mal utilisées?
Les dégâts se limitent-ils à des informations sur l’ascendance ou incluent-ils également des données relatives à la santé des utilisateurs? La compromission des comptes a également mené à l’accès à « un nombre significatif de fichiers contenant des informations de profils » d’autres utilisateurs, qui ont choisi de partager leurs données avec la fonctionnalité DNA Relatives du service. Qu’est-ce que cela implique pour la vie privée des individus concernés?
La dimension de cette brèche semble complexe et ses ramifications considérables. Combien d’autres utilisateurs sont affectés par cet accès non autorisé?
N’oublions pas que le piratage ne s’arrête pas aux comptes individuels accédés. En effet, les hackers pourraient avoir eu accès aux données personnelles des personnes reliées aux victimes initiales à travers la fonctionnalité DNA Relatives. Quelles sont les mesures prises par la société pour préserver la sécurité de ces informations partagées?
Le fil conducteur des violations de données émane-t-il d’une faille commune dans les pratiques de sécurité des utilisateurs? Il semble que les hackers aient utilisé du « credential stuffing », une méthode bien connue pour s’introduire dans les comptes en utilisant des mots de passe déjà connus via d’autres fuites de données.
Est-ce que la façon dont nous protégeons nos comptes est suffisante aux vues des méthodes de plus en plus sophistiquées des cybercriminels? En réponse au piratage, 23andMe a contraint ses utilisateurs à réinitialiser leurs mots de passe et encouragé l’activation de l’authentification à plusieurs facteurs. Est-ce suffisant pour endiguer le flot de violations de données à l’avenir ou devons-nous envisager des stratégies de sécurité plus rigoureuses?
En fin de compte, comment les entreprises de tests ADN peuvent-elles prendre des mesures proactives pour se défendre contre ces incursions numériques et protéger la confidentialité de leurs clients? Avec la reconnaissance des dangers liés à la cyber-sécurité, ne devrait-on pas réévaluer la manière dont nous gérons et sécurisons nos données génétiques?
Source : Techcrunch
