Un porte-parole de 23andMe a déclaré qu'environ 5,5 millions d'utilisateurs ont vu leurs données consultées à partir de la fonction DNA Relatives de l'entreprise, qui aide les utilisateurs à trouver et à se connecter avec des membres de leur famille qui ont également activé cette fonction.
Les pirates ont également violé les données de 1,4 million de profils d'arbres généalogiques supplémentaires, qui comprennent une variété d'informations d'identification sur l'utilisateur, a déclaré le porte-parole.
23andMe a annoncé pour la première fois la violation de données au début du mois d'octobre et a déclaré que des experts médico-légaux tiers et des représentants des forces de l'ordre fédérales participaient à l'enquête.
Le vendredi 1er décembre dernier, l'entreprise a déclaré que l'enquête était terminée et a déposé ses conclusions auprès de la Securities and Exchange Commission (Commission des valeurs mobilières des États-Unis).
Dans ces conclusions, l'entreprise indique que les pirates ont pu accéder à 0,1 % des données des utilisateurs de l'entreprise, ce que l'entreprise qualifie de "très faible pourcentage". Le porte-parole a confirmé le lundi d'après que cela correspondait à environ 14 000 utilisateurs.
Les pirates ont pu accéder aux comptes dans les cas où les noms d'utilisateur et les mots de passe utilisés sur le site web de 23andMe correspondaient à ceux utilisés sur d'autres sites web précédemment compromis, selon le porte-parole.
Le porte-parole a ajouté que les pirates ont utilisé ces informations pour accéder aux fichiers du profil DNA Relatives et aux informations du profil Family Tree.
"Nous n'avons aucune indication qu'il y ait eu une violation ou un incident de sécurité des données dans nos systèmes, ou que 23andMe ait été la source des identifiants de compte utilisés dans ces attaques", a noté le porte-parole.
Vendredi dernier, l'entreprise a déclaré avoir "pris des mesures" pour protéger les données des utilisateurs, notamment en demandant aux consommateurs existants de réinitialiser leur mot de passe et en appliquant une méthode de vérification en deux étapes pour les nouveaux utilisateurs et les utilisateurs existants.
Après l'annonce initiale de la violation de données par 23andMe en octobre, le procureur général de l'État du Connecticut, William Tong, a demandé des informations supplémentaires sur l'incident, qui, selon lui, visait les données de personnes d'origine juive ashkénaze et chinoise.
M. Tong a affirmé que le piratage avait conduit à la vente sur le marché illégal d'au moins un million de profils de données d'origine juive ashkénaze et qu'une autre fuite avait exposé des données concernant des centaines de milliers de personnes d'origine chinoise.
À l'époque, un porte-parole de 23andMe a déclaré que son enquête suggérait que "les acteurs de la menace étaient en mesure d'accéder à certains comptes dans les cas où les utilisateurs recyclaient leurs identifiants de connexion".
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des conséquences potentielles de cette attaque et de l'impact de la divulgation de ces informations sensibles sur le marché illégal ?
Voir aussi
Des pirates informatiques déclarent avoir violé "tous les systèmes de Sony" et menacent de vendre les données volées
Okta, une entreprise de gestion des identités et des accès, confirme le vol de toutes les données de ses clients par des pirates et ravive le débat sur le risque de s'appuyer sur des sociétés cloud