Tests ADN, la violation de données serait due à une mauvaise cyberhygiène des utilisateurs

Après la violation massive de données qui a exposé les données génétiques de 6,9 millions de clients de 23andMe, la société de tests ADN pointe maintenant du doigt les victimes pour tenter de sortir indemne d'une trentaine d'actions en justice.

Selon une lettre envoyée aux plaignants qui ont intenté une action en justice contre 23andMe, la société de génétique reproche aux clients d'avoir été négligents et de ne pas avoir utilisé de mots de passe uniques pour leurs comptes. De plus, le document méticuleusement élaboré par les avocats de 23andMe affirme qu'il n'y a jamais eu de violation.

"En tant que question préliminaire, les plaignants que vous prétendez représenter n'ont pas été affectés par une violation de la sécurité dans le cadre de l'ACPR ( - California Privacy Rights Acts, loi de 2023 similaire à notre RGPD européen - )", lit-on dans une copie de la lettre partagée avec TechCrunch.

"Comme indiqué dans l'article de blog de 23andMe du 6 octobre 2023, 23andMe pense que des acteurs non autorisés ont réussi à accéder à certains comptes d'utilisateurs dans des cas où les utilisateurs ont recyclé leurs propres identifiants de connexion - c'est-à-dire que les utilisateurs ont utilisé le même nom d'utilisateur et les mêmes mots de passe utilisés sur 23andMe.com que sur d'autres sites Web qui avaient fait l'objet de brèches de sécurité antérieures, et les utilisateurs ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité antérieurs, qui ne sont pas liés à 23andMe", a ajouté 23andMe.

"Par conséquent, l'incident n'est pas le résultat de l'échec présumé de 23andMe à maintenir des mesures de sécurité raisonnables en vertu de l'ACPR."

Pour aggraver la situation, l'entreprise a également déclaré que les informations qui ont pu être consultées "ne peuvent pas être utilisées à des fins préjudiciables".

Toutefois, les cybercriminels pourraient utiliser les informations exposées (qui ont également été divulguées sur un forum consacré aux violations de données en octobre 2023) pour mener des opérations d'ingénierie sociale très ciblées à l'encontre des utilisateurs, ce qui pourrait entraîner des pertes financières et des fraudes.

Nous conseillons vivement à tous les internautes qui éprouvent des difficultés à respecter les pratiques recommandées en matière d'hygiène des mots de passe d'opter pour un gestionnaire de mots de passe et d'utiliser toutes les mesures de sécurité supplémentaires, telles que l'activation du 2FA ou du MFA, chaque fois qu'elles sont disponibles.

Une solution dédiée à la protection de l'identité, telle que Bitdefender Digital Identity Protection, peut également vous aider considérablement à améliorer votre vie privée et à prendre des mesures immédiates en cas de violation. Ses principales caractéristiques sont les suivantes :

• Un tableau de bord complet où vous pouvez obtenir une vue d'ensemble de toutes vos données personnelles, même les traces provenant de services que vous n'utilisez plus.
• Une surveillance 24 heures sur 24 et 7 jours sur 7 de vos données sur le Web public et le Dark Web, vous informant immédiatement des incidents susceptibles d'impliquer vos informations.
• Des actions simples, en un clic, pour éliminer instantanément les points faibles de votre empreinte numérique.