23andMe : un hackeur publie un nouvel ensemble de données

Un pirate informatique a publié un ensemble de données concernant 4 millions d’utilisateurs de la plateforme de tests ADN 23andMe. L’affaire prend de l’ampleur aux Etats-Unis, où un sénateur a demandé à la présidente de l’entreprise de lui fournir plus de détails quant à l’attaque.  

Le piratage de la société américaine spécialisée dans les tests ADN 23andMe, révélé dans la presse début octobre, concernant 1 millions d'utilisateurs pour la plupart juifs ashkénazes, pourrait être bien plus important. Le hackeur, qui se fait appeler Golem, a divulgué sur BreachForums, un nouvel ensemble de données concernant quatre millions d’utilisateurs.

Le pirate a indiqué que les fichiers concernaient cette-fois des personnes venant de Grande-Bretagne, et « les personnes les plus riches vivant aux États-Unis et en Europe occidentale » entre autres. Dans un communiqué, que TechCrunch a pu consulter, Andy Kill, porte-parole de 23andMe, a déclaré que l’entreprise était au courant de cette nouvelle fuite et examinait les données afin de déterminer si elles étaient légitimes. La société a ouvert une enquête appuyée par des experts tiers.

300 téraoctets de données volées ?

« Nous pensons que les acteurs malveillants ont pu accéder à certains comptes dans des cas où les utilisateurs ont recyclé les identifiants, c’est-à-dire que les noms d’utilisateur et mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites qui ont précédemment été piratés », avait déclaré 23andMe dans un communiqué. Une pratique connue sous le nom de « credential stuffing ». Une fois entrés, le(s) pirate(s) avait utilisé une fonctionnalité DNA Relatives, qui permet aux utilisateurs de se connecter avec des membres plus ou moins proche de leur famille, et ayant servi à récolter un maximum de données.

D’après TechCrunch, l’incident semblerait remonté au mois d’août, lorsqu’un pirate informatique a publié sur le forum de Hydra, une annonce concernant un ensemble de donnée de 23andMe. Il avait également assuré détenir 300 téraoctets de données utilisateurs.

L’affaire prend de l’ampleur. Aux Etats-Unis, le sénateur Bill Cassidy, membre de la commission sénatoriale de la santé, de l'éducation, du travail et des pensions, a adressé une lettre à Anne Wojcicki, présidente de 23andMe, afin de lui fournir plus de détails sur l’attaque.