Des pirates informatiques accèdent aux profils de près de 7 millions de clients de 23andMe
Vendredi, 23andMe a déclaré à la Securities and Exchange Commission qu'environ 0,1 % des comptes d'utilisateurs de l'entreprise, soit environ 14 000, avaient été violés par les pirates.
23andMe s'en tient à ce chiffre, mais indique également aux journalistes que les pirates ont pu accéder à quelque 5,5 millions de profils utilisant une fonctionnalité de l'entreprise appelée DNA Relatives, qui permet aux utilisateurs de trouver des parents génétiques. En outre, les pirates ont accédé à un sous-ensemble d'informations sur l'arbre généalogique de 1,4 million de profils DNA Relatives, a déclaré le porte-parole de 23andMe dans un communiqué envoyé par courriel.
Engadget, un média spécialisé dans les technologies, a été le premier à évoquer l'impact plus large de ce piratage.
Il s'agit du dernier piratage en date d'une grande entreprise américaine qui a touché beaucoup plus de personnes que ne le laissaient supposer les premières informations. Le mois dernier, la société de gestion d'identité Okta a admis que des pirates avaient volé les données de tous les utilisateurs de son système d'assistance à la clientèle, après avoir initialement indiqué en septembre que moins de 1 % des 18 000 utilisateurs avaient été touchés.
Dans le cas de 23andMe, les pirates ont réutilisé d'anciens noms d'utilisateur et mots de passe d'autres sites web pour s'introduire dans les comptes des clients de 23andMe - une technique rudimentaire mais efficace appelée "credential stuffing".
Le porte-parole de 23andMe, qui a refusé d'être nommé, n'a pas répondu aux questions concernant l'identité des auteurs du piratage.
"23andMe a terminé son enquête, avec l'aide d'experts médico-légaux tiers. Nous sommes en train de notifier les clients concernés, comme l'exige la loi", peut-on lire dans une déclaration publiée samedi soir sur le site web de l'entreprise. "Nous avons pris des mesures pour mieux protéger les données de nos clients, notamment en demandant à tous les clients existants de réinitialiser leur mot de passe et en exigeant une vérification en deux étapes pour tous les nouveaux clients et les clients existants."
Lire aussi:
Source: edition.cnn.com
