23andMe to pay $18 million in new genetics data breach settlement

1 minute de lecture

Mis à jour :

Règlement de 18 millions de dollars après le piratage massif de 23andMe

La société de tests génétiques 23andMe a conclu un accord de 18 millions de dollars avec une coalition de 43 procureurs généraux des États-Unis suite à une faille de sécurité majeure survenue en 2023. L’incident a entraîné le vol des données génétiques et personnelles de 6,9 millions de clients, lesquelles ont été exposées sur le dark web.

Points clés :

  • Incident : Une attaque par bourrage d’identifiants (credential stuffing) non détectée pendant cinq mois (avril à septembre 2023).
  • Conséquences : Vol de données de 6,9 millions d’utilisateurs ; multiples recours collectifs ; amende de 2,31 millions de livres sterling infligée par l’ICO (Royaume-Uni) ; dépôt de bilan de l’entreprise en mars 2025.
  • Déficiences constatées : L’enquête a révélé une absence critique de mesures de sécurité de base, une surveillance inadéquate des connexions anormales et une gestion défaillante des vulnérabilités connues.

Vulnérabilités :

  • Absence d’authentification multifacteur (MFA).
  • Manque de mécanismes de blocage de mots de passe compromis (password blocklisting).
  • Absence de limitation de débit (rate limiting) et d’outils de prévention des intrusions.
  • Défaut de détection et de réponse aux comportements suspects. (Note : Aucune CVE spécifique n’a été mentionnée dans l’article, l’incident étant lié à une mauvaise hygiène de sécurité et à l’exploitation d’identifiants volés).

Recommandations et mesures correctives :

  • Renforcement technique : Mise en place obligatoire de protocoles de sécurité stricts (MFA, surveillance accrue).
  • Gouvernance : Création d’un conseil consultatif sur la sécurité des données et instauration de protocoles d’analyse des risques.
  • Droits des utilisateurs : Maintien du droit pour les clients de demander la suppression définitive de leurs données génétiques.
  • Audit proactif : Nécessité pour les organisations de tester régulièrement leurs règles de détection (SIEM/EDR) pour contrer les menaces avant qu’elles ne deviennent des compromissions massives.

Source