Les sociétés d’analyse génétique comme 23andMe sont des cibles très tentantes. Aujourd’hui, ce que l’on craignait le plus est arrivé : l’entreprise a confirmé que certaines données personnelles de ses clients circulent sur les forums du Dark Web, en raison d’une cyberattaque de type credential stuffing.
Les données biométriques sont très sensibles
23andMe affirme que leur base de données n’a pas été piratée en soi, mais qu’ils ont accédé à une grande quantité d’informations internes grâce à une technique apparemment basique de credential stuffing. En d’autres termes, ils ont entré dans la base de données le nom et le mot de passe obtenus lors d’autres cyberattaques.
Selon les forums du Dark Web, les comptes d’environ 7 millions de personnes ont été compromis et des millions d’utilisateurs dont les informations de connexion étaient similaires à celles d’autres services ont été piratés. Parmi les données obtenues figurent des noms, des photographies, la géolocalisation et des informations sur « DNA Relatives », un service optionnel proposé par l’entreprise pour découvrir avec quelles autres personnes vous avez un certain type de lien génétique.
La première fuite indique qu’une base de données contenant « 1 million de lignes de données sur des individus ashkénazes » – l’un des principaux groupes ethniques juifs – a été mise en vente. En outre, une base de données contenant des informations sur 300 000 utilisateurs d’origine chinoise a été mise en vente.
Les prix varient entre un dollar et 10 dollars par profil
Selon ceux qui ont mis les données en vente, parmi les informations obtenues, le génotype des patients a été volé, ce qui pourrait être utilisé pour déterminer la probabilité que les utilisateurs souffrent de différentes maladies. Il s’agit d’informations très sensibles et potentiellement intéressantes pour les assureurs.
Cependant, selon 23andMe, bien qu’il existe des informations génétiques provenant des profils ADN, les données génétiques directes provenant de l’ADN des utilisateurs n’ont jamais été divulguées. L’entreprise analyse toujours la situation et réfléchit à la manière de procéder.
Ils prétendent se conformer aux normes de confidentialité les plus élevées et disposent de trois certifications ISO différentes.
Lisez aussi…
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
