Dans un incident récent de cybersécurité, la société de génétique personnelle 23andMe a confirmé mardi que des pirates informatiques, utilisant des mots de passe volés, ont accédé aux informations personnelles d'environ 6,9 millions de ses membres.
Bien que les pirates n'aient pu pénétrer que dans environ 14 000 comptes, représentant 0,1 % de ses clients, ils ont pu voir des informations partagées par des parents génétiquement liés chez 23andMe, selon un porte-parole répondant à l'AFP.
23andMe est en train de notifier les clients affectés et a renforcé la sécurité des comptes en exigeant des utilisateurs de réinitialiser leurs mots de passe et de mettre en place une seconde méthode d'authentification, telle que l'envoi d'un code temporaire sur un téléphone portable, a indiqué le porte-parole.
Début octobre, 23andMe a détecté que des voleurs de données avaient pénétré dans des comptes protégés par des détails de connexion recyclés à partir d'autres sites Web compromis, a déclaré l'entreprise.
« Nous n'avons aucune indication qu'il y ait eu une violation ou un incident de sécurité des données au sein de nos systèmes, ni que 23andMe soit la source des identifiants de compte utilisés dans ces attaques », a déclaré le porte-parole.
Sur les 6,9 millions de comptes piratés, 5,5 millions contenaient des informations sur des correspondances génétiques et pouvaient également inclure des dates et lieux de naissance si fournis par les utilisateurs, selon 23andMe.
Un autre 1,4 million de comptes piratés avaient un accès limité à certaines informations de profil ADN dans le cadre de la fonctionnalité « Arbre Généalogique », a déclaré le porte-parole.
Les nouvelles de la violation de données chez 23andMe ont émergé en ligne en octobre, lorsque des pirates ont annoncé sur BreachForums,un forum de piratage réputé, posséder les données présumées d'un million d'utilisateurs d'ascendance juive ashkénaze et de 100 000 utilisateurs chinois. Environ deux semaines plus tard, le même pirate informatique qui avait annoncé les données d'utilisateurs volées initialement a mis en vente les dossiers présumés de quatre millions de personnes supplémentaires. Le pirate tentait de vendre les données de victimes individuelles entre 1 et 10 dollars.
TechCrunch a découvert qu'un autre pirate sur un forum de piratage différent avait annoncé encore plus de données d'utilisateurs prétendument volées deux mois avant l'annonce initialement rapportée par les médias en octobre. Dans cette première annonce, le pirate affirmait avoir 300 téraoctets de données d'utilisateurs de 23andMe volées, et demandait 50 millions de dollars pour vendre l'ensemble de la base de données, ou entre 1 000 et 10 000 dollars pour un sous-ensemble des données.
Fondée en 2006, 23andMe est basée à Mountain View, Californie, où se trouve également le siège de Google.
Ce piratage soulève des questions importantes sur la sécurité des données génétiques et l'impact potentiel sur la vie privée des individus. Il met en lumière la nécessité de mesures de sécurité renforcées dans le domaine de la génomique personnelle.