23andMe va payer 30 M de $ pour la violation de données ciblant des usagers juifs et chinois
L'année dernière, un pirate informatique avait publié un lien vers une base de données intitulée « Données ADN de célébrités ashkénazes »
La société de tests génétiques 23andMe a accepté de payer 30 millions de dollars à des plaignants américains pour régler un procès concernant une violation de données survenue l’année dernière qui visait spécifiquement les clients d’ascendance juive ashkénaze et chinoise, selon la Jewish Telegraphic Agency.
La violation des données, qui s’est produite en octobre dernier, a touché plus de 6,9 millions de clients et comprenait les données personnelles des utilisateurs, telles que leur localisation, leur nom et leur date de naissance, ainsi que certaines informations sur leurs arbres généalogiques. Ces données ont été partagées sur BreachForums, un forum en ligne utilisé par les cybercriminels.
Selon les documents du tribunal, la violation de données a été révélée le 6 octobre après qu’un pirate informatique utilisant le pseudonyme « Golem », en référence au défenseur mythique juif fait d’argile, a publié un lien vers une base de données intitulée « Ashkenazi DNA Data of Celebrities » (en français : « Données ADN de célébrités ashkénazes »). D’après la plainte, le pirate a qualifié la liste de « données les plus précieuses que vous n’aurez jamais vues », bien que la plupart des noms ne soient pas célèbres.
Au total, 999 998 personnes d’ascendance ashkénaze figuraient sur la liste, qui contenait également les données de 100 000 autres personnes d’ascendance chinoise. « Golem » prétendait également posséder les données de 350 000 utilisateurs d’origine chinoise et proposait de vendre les données de ces deux ensembles d’informations contre rémunération.
Selon la plainte, 23andMe n’a pas révélé l’ampleur de la violation à ses clients avant le mois de décembre, date à laquelle l’entreprise a déclaré que les pirates avaient pu accéder à un grand nombre de comptes en piratant d’abord un plus petit nombre de comptes, puis en accédant aux informations d’autres comptes par l’intermédiaire des fonctions « arbre généalogique » et « personnes à l’ADN proche » du site.
Les plaignants affirment dans des documents judiciaires qu’en plus du vol de leurs données, 23andMe a fait de fausses déclarations sur le degré de sécurité des données de ses utilisateurs. Ils affirment que les données « sont maintenant entre les mains de cybercriminels et qu’elles peuvent être téléchargées par toute personne ayant accès au forum de piratage ».
Dans un communiqué transmis à la Jewish Telegraphic Agency, 23andMe a déclaré : « Nous continuons à croire que ce règlement est dans le meilleur intérêt des clients de 23andMe, et nous sommes impatients de finaliser l’accord ».