La notification et la divulgation des violations
23andMe a soumis une notification au bureau du procureur général de Californie, confirmant que la société a été piratée entre fin avril et septembre 2023. La société a initialement divulgué la violation dans un article de blog le 6 octobre, dans laquelle elle mentionnait qu’un « acteur menaçant » a obtenu l’accès à « certains comptes » en utilisant des « identifiants de connexion recyclés » provenant de sites externes compromis. Cependant, l’ampleur de la violation, y compris l’exposition des informations génétiques personnelles des utilisateurs, n’a été divulguée que dans un article de blog mis à jour le 5 décembre, après un examen interne avec des experts légistes tiers.
Implications et importance du procès
Le procès représente un changement dans la législation sur la protection de la vie privée des consommateurs, selon Jay Edelson, l’un des avocats représentant les plaignants. Il estime que les violations de données sensibles ont désormais atteint un point tel que la première préoccupation est de savoir si ces informations peuvent être utilisées à des fins de harcèlement physique ou de préjudice à grande échelle. La complexité de la violation réside dans le fait que les clients ont opté pour une fonctionnalité appelée DNA Relatives, ce qui a entraîné la divulgation potentielle des informations de profil de 5,5 millions de DNA Relatives, y compris l’emplacement géographique, l’année de naissance, l’arbre généalogique et les photos téléchargées.
Actions du pirate informatique
Le procès affirme que le pirate informatique, utilisant le nom « Golem » et une image de Gollum comme avatar, a divulgué les données personnelles de plus d’un million d’utilisateurs de 23andMe d’ascendance juive sur le forum en ligne BreachForums. Les données divulguées comprenaient les noms complets, les adresses personnelles et les dates de naissance des utilisateurs. De plus, le pirate informatique a offert l’accès aux informations de profil de 100 000 clients chinois, avec 350 000 enregistrements supplémentaires disponibles à la vente. Le procès a souligné les risques amplifiés auxquels sont confrontés les utilisateurs dans le climat géopolitique et social actuel, notamment en ce qui concerne le ciblage potentiel de la population juive américaine.
Implications plus larges et précautions futures
Ramesh Srinivasan, professeur à l’Université de Californie à Los Angeles, suggère que des violations similaires vont probablement se poursuivre. Il pose la question de savoir comment les entreprises réagiront : en prenant des précautions sérieuses, comme accroître la sécurité et limiter la conservation des données, ou en appliquant de simples remèdes superficiels sans s’attaquer aux problèmes sous-jacents. Cette violation rappelle les dangers croissants associés à la dataification croissante de la vie des gens.