23andMe blâme les personnes concernées pour la fuite de données

En octobre 2023, il est devenu public que la célèbre société de biotechnologie 23andMe avait été victime d’un vol de données. Pire encore, le pirate informatique inconnu a mis en ligne des millions de documents peu de temps après. Le nombre d’utilisateurs réellement touchés par l’attaque était encore incertain à ce stade. L’ampleur réelle du vol de données n’est apparue qu’en décembre, lorsque 23andMe a annoncé les premiers résultats de son enquête interne. Le pirate informatique a ainsi eu accès aux données de 6,9 ​​millions d’utilisateurs, alors qu’il n’a en réalité réussi à pirater que les comptes de 14 000 clients. Cela a été rendu possible grâce à une fonctionnalité appelée « DNA Relatives ». Le système compare l’ADN de l’utilisateur concerné avec celui d’autres utilisateurs afin de trouver des parents génétiques. Une faille de sécurité que les avocats des personnes concernées attribuent clairement à l’entreprise de biotechnologie. 23andMe voit probablement les choses différemment et blâme désormais les victimes pour la fuite de données.

23andMe : l’utilisateur est responsable de l’incident

Parce que j’aime bruyamment l’entreprise TechCrunch Dans une lettre adressée aux avocats des victimes plaignantes, le vol de données s’est produit uniquement parce que les utilisateurs n’ont pas prêté suffisamment d’attention à la sécurité de leurs mots de passe. Au lieu de cela, les 14 000 utilisateurs – dont les comptes ont été manifestement piratés – ont utilisé des mots de passe déjà connus lors d’attaques de pirates informatiques précédentes. En conséquence, l’intrus inconnu n’avait qu’à essayer les combinaisons connues d’adresse e-mail et de mot de passe pour accéder aux comptes d’utilisateurs. En conséquence, selon la lettre, 23andMe conclut que « l’incident n’était pas dû à l’incapacité présumée de 23andMe » à « maintenir des mesures de sécurité adéquates ».

L’avocat des victimes voit la responsabilité chez 23andMe

Cependant, l’entreprise n’aborde pas le fait que l’attaquant a accédé aux données d’un total de 6,9 ​​millions d’utilisateurs et pas seulement à celles des 14 000 utilisateurs que 23andMe accuse de manque de sensibilisation à la sécurité. Pour l’avocat Hassan Zavareei, qui représente l’une des victimes, c’est un signe clair que l’entreprise cherche à se soustraire à ses responsabilités. « Au lieu de reconnaître son rôle dans ce désastre de sécurité des données, 23andMe semble avoir choisi d’abandonner ses clients tout en minimisant la gravité de ces événements (…) », a poursuivi Zavareei. 23andMe lui-même n’a pas encore publié de déclaration à ce sujet.