Une tentative « éhontée » pour éviter de céder aux recours collectifs ?
Une patate chaude : En décembre, 23andMe a confirmé une faille de sécurité gênante affectant environ 7 millions d’utilisateurs. Désormais, la société de tests génétiques affirme que les utilisateurs sont responsables de l’incident dû à la réutilisation des mots de passe. De toute évidence, les accusations ne plaisent pas aux personnes concernées.
Les clients touchés par la violation de données de 2023 poursuivent en masse 23andMe, avec plus de 30 poursuites déposées, notamment des recours collectifs et des demandes d’arbitrage de masse. En décembre, la société a signalé que des attaquants inconnus avaient directement accédé à 14 000 comptes d’utilisateurs, forçant brutalement les mots de passe des comptes à l’aide d’une technique connue sous le nom de credential stuffing.
La compromission de ces premiers comptes a donné aux cybercriminels un accès plus approfondi au réseau 23andMe via sa fonctionnalité « DNA Relatives ». DNA Relatives est un programme facultatif qui permet aux utilisateurs de 23andMe de partager automatiquement des informations personnelles limitées avec d’autres clients qui peuvent leur être liés. Ainsi, avec seulement quelques comptes compromis, les pirates ont pu accéder aux données personnelles de 6,9 millions d’autres personnes.
TechCrunch a obtenu une lettre indiquant que la société de génomique personnelle contacte désormais certaines victimes de violations de données pour leur dire qu’elles ne peuvent être blâmées qu’elles-mêmes. Il affirme que les utilisateurs qui tentent de poursuivre 23andMe ont utilisé des informations de connexion recyclées. Le recyclage des informations d’identification se produit lorsqu’une personne utilise le même nom de connexion et le même mot de passe sur plusieurs sites Web en ligne.
La société maintient que l’incident n’est pas le résultat de son incapacité « présumée » à maintenir des mesures de sécurité raisonnables, mais du fait que des pirates informatiques ont obtenu des informations d’identification réutilisées via des sites Web tiers. Les poursuites judiciaires contre l’entreprise sont donc sans fondement.
Hassan Zavareei, l’un des avocats qui poursuivent 23andMe, note que la société tente ouvertement de minimiser la gravité de l’incident. Zavareei a qualifié la tentative de pointage du doigt de 23andMe d’« absurde » parce que le recyclage des informations d’identification est suffisamment courant pour qu’il devrait y avoir des imprévus. Il fait valoir que 23andMe aurait dû mettre en œuvre des mesures de sécurité plus robustes, d’autant plus qu’il stocke et gère des « informations d’identification personnelle », des données de santé et des données génétiques. Zavareei a ajouté que la violation a touché des millions de personnes parce que la fonctionnalité DNA Relatives n’était pas sécurisée, et non parce que les utilisateurs recyclaient les mots de passe.
Les avocats de 23andMe ont en outre déclaré que les données « potentiellement » consultées par les cybercriminels ne pouvaient pas être utilisées pour un préjudice « pécuniaire », car elles n’incluaient pas les numéros de sécurité sociale, les numéros de permis de conduire ou toute information de paiement ou financière.
Jeu de briques
Snake
Pacman
Bubble