Discussion :

[Anthony]

6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates, qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web

Environ 6,9 millions d'utilisateurs de la société de tests génétiques 23andMe ont vu leurs informations personnelles dérobées par des pirates informatiques lors d'une récente violation de données, a confirmé un porte-parole de la société le lundi 4 décembre.

Un porte-parole de 23andMe a déclaré qu'environ 5,5 millions d'utilisateurs ont vu leurs données consultées à partir de la fonction DNA Relatives de l'entreprise, qui aide les utilisateurs à trouver et à se connecter avec des membres de leur famille qui ont également activé cette fonction.

Les pirates ont également violé les données de 1,4 million de profils d'arbres généalogiques supplémentaires, qui comprennent une variété d'informations d'identification sur l'utilisateur, a déclaré le porte-parole.

23andMe a annoncé pour la première fois la violation de données au début du mois d'octobre et a déclaré que des experts médico-légaux tiers et des représentants des forces de l'ordre fédérales participaient à l'enquête.

Le vendredi 1er décembre dernier, l'entreprise a déclaré que l'enquête était terminée et a déposé ses conclusions auprès de la Securities and Exchange Commission (Commission des valeurs mobilières des États-Unis).

Dans ces conclusions, l'entreprise indique que les pirates ont pu accéder à 0,1 % des données des utilisateurs de l'entreprise, ce que l'entreprise qualifie de "très faible pourcentage". Le porte-parole a confirmé le lundi d'après que cela correspondait à environ 14 000 utilisateurs.

Les pirates ont pu accéder aux comptes dans les cas où les noms d'utilisateur et les mots de passe utilisés sur le site web de 23andMe correspondaient à ceux utilisés sur d'autres sites web précédemment compromis, selon le porte-parole.

Le porte-parole a ajouté que les pirates ont utilisé ces informations pour accéder aux fichiers du profil DNA Relatives et aux informations du profil Family Tree.

"Nous n'avons aucune indication qu'il y ait eu une violation ou un incident de sécurité des données dans nos systèmes, ou que 23andMe ait été la source des identifiants de compte utilisés dans ces attaques", a noté le porte-parole.

Vendredi dernier, l'entreprise a déclaré avoir "pris des mesures" pour protéger les données des utilisateurs, notamment en demandant aux consommateurs existants de réinitialiser leur mot de passe et en appliquant une méthode de vérification en deux étapes pour les nouveaux utilisateurs et les utilisateurs existants.

Après l'annonce initiale de la violation de données par 23andMe en octobre, le procureur général de l'État du Connecticut, William Tong, a demandé des informations supplémentaires sur l'incident, qui, selon lui, visait les données de personnes d'origine juive ashkénaze et chinoise.

M. Tong a affirmé que le piratage avait conduit à la vente sur le marché illégal d'au moins un million de profils de données d'origine juive ashkénaze et qu'une autre fuite avait exposé des données concernant des centaines de milliers de personnes d'origine chinoise.

À l'époque, un porte-parole de 23andMe a déclaré que son enquête suggérait que "les acteurs de la menace étaient en mesure d'accéder à certains comptes dans les cas où les utilisateurs recyclaient leurs identifiants de connexion".

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous des conséquences potentielles de cette attaque et de l'impact de la divulgation de ces informations sensibles sur le marché illégal ?

Voir aussi

Des pirates informatiques déclarent avoir violé "tous les systèmes de Sony" et menacent de vendre les données volées

Okta, une entreprise de gestion des identités et des accès, confirme le vol de toutes les données de ses clients par des pirates et ravive le débat sur le risque de s'appuyer sur des sociétés cloud

[Bruno]

23andMe a modifié ses conditions de service pour empêcher les clients de porter plainte,
suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes

La société de tests génétiques a récemment modifié ses conditions d'utilisation dans le but d'empêcher ses clients d'intenter des recours collectifs ou de participer à des procès devant un jury, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes. Les nouvelles conditions, envoyées par courriel aux clients, stipulent que toute plainte ne peut être déposée qu'à titre individuel et non dans le cadre d'un recours collectif ou d'une action collective. Les clients seront automatiquement considérés comme ayant accepté ces conditions à moins qu'ils n'expriment explicitement leur désaccord dans les 30 jours suivant la réception de l'avis de l'entreprise.

La société de biotechnologie 23andMe, spécialisée dans les tests ADN, a confirmé que les données de ses utilisateurs circulaient sur des forums de pirates informatiques à la suite d'une attaque par saturation des informations d'identification (credential-stuffing). Bien que l'enquête initiale ait révélé qu'aucun résultat de test génétique n'avait été divulgué, des informations sensibles telles que des photos, noms complets et localisation géographique provenant de comptes compromis ont été exposées. L'attaque semble avoir affecté les comptes de manière individuelle, avec une fuite initiale de données concernant un million de personnes ashkénazes.

La méthode de credential-stuffing a permis aux pirates d'accéder aux profils et d'exploiter la fonction DNA Relatives de 23andMe pour obtenir des données plus sensibles. Bien que l'ampleur totale de l'attaque ne soit pas encore claire, la société, qui a été sous examen depuis son entrée en bourse en 2021, assure dépasser les normes de protection des données de son secteur. La mise à jour précise également que, jusqu'à présent, aucun résultat de test génétique n'a été divulgué dans la fuite.

Cette modification vise apparemment à dissuader les poursuites judiciaires à la suite de la violation de données. Malgré l'indignation en ligne, des experts estiment que ces changements pourraient ne pas suffire à protéger 23andMe devant les tribunaux, soulignant que les parties impliquées dans des litiges préfèrent souvent résoudre leurs différends en privé. La société avait déjà signalé des recours collectifs déposés à la suite du piratage, mais la portée exacte de l'incident n'était pas claire jusqu'à récemment.

Dans un courriel envoyé aux clients en début de semaine, la société a annoncé qu'elle avait mis à jour la section « Résolution des litiges et arbitrage » de ses conditions « afin d'inclure des procédures qui encourageront une résolution rapide des litiges et de rationaliser les procédures d'arbitrage lorsque plusieurs réclamations similaires sont déposées ». En cliquant dessus, les clients accèdent à la nouvelle version des conditions d'utilisation de l'entreprise, qui interdisent essentiellement aux clients de déposer des recours collectifs, ce qu'un plus grand nombre de personnes sont susceptibles de faire maintenant que l'ampleur du piratage est plus claire.

« Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie ne peut porter plainte contre l'autre partie qu'à titre individuel et non dans le cadre d'un recours collectif ou d'une action collective ou d'un arbitrage collectif », indiquent les conditions mises à jour. Notamment, 23andMe acceptera automatiquement les nouvelles conditions à moins que les clients n'informent spécifiquement l'entreprise de leur désaccord en envoyant un courriel dans les 30 jours suivant la réception de l'avis de l'entreprise. S'ils ne le font pas, ils « seront réputés avoir accepté les nouvelles conditions », indique l'entreprise dans son courrier électronique.

23andMe restreint les recours collectifs : quelles conséquences pour les utisateurs ?

En octobre, la société de tests génétiques basée à San Francisco et dirigée par Anne Wojcicki a annoncé que des pirates informatiques avaient accédé à des informations sensibles sur les utilisateurs, notamment des photos, des noms complets, des emplacements géographiques, des informations relatives aux arbres généalogiques et même des noms de membres de la famille apparentés. L'entreprise a précisé qu'aucun matériel génétique ou dossier d'ADN n'avait été exposé.

Quelques jours après cette attaque, les pirates ont mis en vente sur l'internet les profils de centaines de milliers de juifs ashkénazes et de Chinois. Mais jusqu'à la semaine dernière, on ne savait pas exactement combien de personnes avaient été touchées.

Dans un document déposé auprès de la Securities and Exchange Commission, 23andMe a déclaré que de « multiples recours collectifs » avaient déjà été déposés contre l'entreprise devant les tribunaux fédéraux et étatiques de Californie et les tribunaux étatiques de l'Illinois, ainsi que devant des tribunaux canadiens.

Comme le note Axios, le fait d'interdire aux gens de déposer des recours collectifs permet de dissimuler au public des informations sur les procédures, puisque les parties concernées tentent généralement de résoudre leurs différends avec des arbitres en privé. Des experts, tels que Nancy Kim, professeur au Chicago-Kent College of Law et spécialiste des entrepreneurs en ligne, ont déclaré à Axios que la modification de ses conditions ne suffirait pas à protéger 23andMe devant les tribunaux.

Source : 23andMe

Et vous ?

Comment les utilisateurs peuvent-ils être assurés que leurs données ne seront pas compromises à l’avenir ?

Comment ces modifications pourraient-elles affecter la confiance des clients envers 23andMe ?

Quelles mesures l’entreprise peut-elle prendre pour rétablir la confiance ?

Voir aussi :

La police a utilisé l'ADN pour générer des images 3D de suspects qu'ils n'ont jamais vus et a diffusé les images au public, soulevant les inquiétudes et l'indignation des experts de la vie privée

6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates, qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web

[Mathis Lucas]

23andMe impute la violation de données à des utilisateurs qui ont recyclé des mots de passe sans les mettre à jour
l'entreprise tente de se décharger de toute responsabilité dans l'incident

La société américaine de biotechnologie 23andMe a été poursuivie en justice par des clients mécontents après la violation de données qu'elle a subie l'année dernière. Mais de manière inattendue, elle a répondu aux plaintes en déclarant que les victimes auraient dû choisir un meilleur mot de passe si elles voulaient que leur sécurité soit renforcée pour empêcher toute violation de données. En d'autres termes, 23andMe estime que l'incident ne résulte pas de son incapacité présumée à maintenir des mesures de sécurité raisonnables, mais aux mauvaises pratiques des clients en matière de mots de passe. Cette déclaration est bien sûr critiquée et fait davantage de mécontents.

La société américaine de tests génétiques 23andMe a subi une importante violation donnée l'année dernière. L'on ignore exactement quand le piratage a eu lieu, mais la nouvelle de la violation n'a fait surface qu'en octobre, lorsque des données des clients ont été mises en vente sur le dark Web. À ce moment-là, 23andMe a déclaré au public que seuls 14 000 comptes environ avaient été compromis. Mais une enquête ultérieure a révélé qu'en raison d'une fonction interne de partage de données liée à ces comptes, le nombre réel de personnes touchées était probablement de l'ordre de 6,9 millions. L'entreprise avait initialement minimisé la portée du piratage.

Le comportement de 23andMe a frustré de nombreux clients qui ont décidé de poursuivre l'entreprise en justice. Généralement, lorsque les données personnelles des clients sont compromises après un piratage, l'entreprise s'excuse ou demande pardon. Mais ce n'est pas le cas de 23andMe. Pour l'instant, l'entreprise ne semble pas avoir l'intention de s'excuser auprès des clients ni de trouver une voie pacifique pour sortir de cette crise. Confronté à plus de 30 actions en justice, 23andMe rejette la responsabilité sur les victimes elles-mêmes afin de se dégager de toute responsabilité. Il a exprimé sa position dans une lettre envoyée à un groupe de victimes.

La nouvelle de la lettre a été rapportée par TechCrunch et elle a été envoyée au cabinet d'avocats Tycko & Zavareei LLP. « Plutôt que de reconnaître son rôle dans ce désastre en matière de sécurité des données, 23andMe a apparemment décidé de laisser ses clients à l'abandon tout en minimisant la gravité de ces événements », a déclaré Hassan Zavareei, l'un des avocats représentant les victimes qui ont reçu la lettre de 23andMe. L'entreprise cherche à rester à l'écart des tribunaux, mais elle semble également nier être la principale responsable de la violation des données. La lettre envoyée par 23andMe aux clients comporterait le passage suivant :

« Par négligence, les utilisateurs ont recyclé et n'ont pas mis à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe. Par conséquent, l'incident n'était pas le résultat de l'échec présumé de 23andMe à maintenir des mesures de sécurité raisonnables […] ». En d'autres termes, 23andMe semble dire que cette vaste violation de données n'est pas vraiment de sa faute. Cette affirmation est conforme à ce que l'entreprise a déclaré précédemment, à savoir que le véritable coupable de toute l'affaire était une mauvaise sécurité des comptes et que ses propres systèmes n'ont jamais été violés par les criminels.

En réponse à la lettre de 23andMe aux victimes, Zavareei a déclaré que l'entreprise blâme sans vergogne les victimes pour la violation de données. « Ce pointage du doigt est absurde. 23andMe savait ou aurait dû savoir que de nombreux consommateurs utilisent des mots de passe recyclés et donc 23andMe aurait dû mettre en œuvre certaines des nombreuses mesures de protection disponibles pour se protéger contre le bourrage d'identifiants - surtout si l'on considère que 23andMe stocke des informations d'identification personnelle, des informations de santé et des informations génétiques sur sa plateforme », a déclaré Zavareei.

La réponse de l'entreprise a choqué plus d'un. Et les critiques n'ont pas manqué de relever certaines faiblesses dans la sécurité de 23andMe. Des critiques ont souligné que 23andMe aurait probablement dû exiger des utilisateurs qu'ils utilisent l'authentification multifactorielle, une pratique de sécurité standard de l'industrie qu'elle n'a pas respectée avant la violation. L'entreprise n'a instauré l'authentification à plusieurs facteurs obligatoire qu'après le vol des données des utilisateurs. En outre, après la révélation de la violation, l'entreprise a également modifié frénétiquement ses conditions de service afin d'empêcher les clients piratés de porter plainte.

Selon les analystes, en raison de certaines dispositions controversées incluses dans les conditions de service de 23andMe, les litiges de masse (comme les recours collectifs) sont assez difficiles à réaliser. En effet, les conditions de service de l'entreprise stipulent que les utilisateurs doivent renoncer à la possibilité de poursuivre l'entreprise et tenter à la place l'arbitrage forcé, une voie juridique alternative qui, selon les experts, penche fortement en faveur des entreprises. Néanmoins, les victimes ont déposé un certain nombre de recours collectifs contre 23andMe, apparemment dans le but de passer outre l'accord initial de l'entreprise.

Zavareei affirme que 23andMe a mis à jour ses conditions générales de vente pour rendre la procédure d'arbitrage plus onéreuse et plus difficile à naviguer. D'autres experts juridiques affirment également que les récentes modifications contractuelles de 23andMe ont rendu encore plus difficile la possibilité pour les victimes de se regrouper et de recourir à un arbitrage de masse, ce qui s'apparenterait à une action collective et qui serait donc plus avantageux et plus pratique pour les victimes. Zavareei a déclaré qu'il existe quelques scénarios hypothétiques dans lesquels les victimes pourraient poursuivre une action en justice traditionnelle.

Dante Termohs, un client de 23andMe qui a été touché par la violation de données, a déclaré à TechCrunch qu'il trouvait consternant que 23andMe tente de se cacher des conséquences au lieu d'aider ses clients. D'autres avocats ayant l'habitude de représenter des victimes de violations de données ont déclaré que les modifications apportées par 23andMe à ses conditions de service sont "cyniques" et "intéressées". Selon eux, il s'agit d'une "tentative désespérée" de se protéger et de dissuader les clients de poursuivre l'entreprise. Elle estime que les données volées ne peuvent pas être utilisées pour infliger des dommages pécuniaires aux victimes.

La violation de données a commencé par l'accès des pirates à environ 14 000 comptes d'utilisateurs seulement. Les pirates se sont introduits dans ce premier groupe de victimes en forçant brutalement les comptes avec des mots de passe connus pour être associés aux clients ciblés, une technique connue sous le nom de "credential stuffing". À partir des 14 000 premières victimes, les pirates ont pu accéder aux données personnelles de 6,9 millions d'autres victimes qui avaient choisi d'utiliser la fonction "DNA Relatives" de 23andMe. Cette fonction permet aux clients de partager automatiquement certaines de leurs données avec des proches sur la plateforme.

En d'autres termes, en piratant les comptes de seulement 14 000 clients, les pirates ont ensuite récupéré les données personnelles de 6,9 millions d'autres clients dont les comptes n'ont pas été directement piratés.

Source : lettre de 23andMe

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la réponse 23andMe aux victimes de la violation de données ?
Selon vous, les utilisateurs de la plateforme de 23andMe sont-ils fautifs dans cette affaire ? Pourquoi ?
La politique de sécurité de l'entreprise est-elle en cause ? Pourquoi refuse-t-elle toute responsabilité ?
Quels impacts le comportement de l'entreprise pourrait-il avoir sur ses activités à long terme ?

Voir aussi

23andMe a modifié ses conditions de service pour empêcher les clients de porter plainte, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes

6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web

La moitié des organisations victimes d'une violation ne prévoient pas d'augmenter leurs dépenses de sécurité malgré la montée en flèche du coût des violations, atteignant 4,45 M$ en 2023, d'après IBM

[gagaches]

L'article me parait à charge vers 23andMe.

C'est une lettre de réponse à un avocat.

"No Breach Occurred"
"No CMIA Violation Occurred"
"23andMe Did Not Violate GIPA"


Dans la lettre, ils restent précis :
- pas de violation de la plateforme
- pas de violation des

Techniquement ici, si les assertions sont correctes,
Il n'y a pas de violation de la plateforme 23andMe mais bien usurpation d'identités.

Après, les fonctions de partage de données ont permis d'accéder aux autres données.
Ce qui me choque : passer de 14k à 6,5M, c'est en moyenne pour chaque client un partage à 5000 parents. ça me parait anormalement énorme.

Enfin, il manque certains gardes fous pour éviter les attaques bourrines comme ils font fait.

[Bruno]

23andMe admet que des pirates ont volé des données génotypiques et que la cyberattaque est restée inaperçue pendant des mois,
après avoir imputé la violation de données à des utilisateurs

23andMe, l'entreprise de biotechnologie, a admis qu'une cyberattaque avait exposé les données génétiques de ses clients pendant cinq mois sans être détectée. Les pirates ont accédé à des informations sur l'ascendance des utilisateurs, provoquant la frustration de nombreux clients. 23andMe a ensuite modifié ses conditions d'utilisation pour limiter les recours collectifs des clients, suscitant la colère des avocats spécialisés.

Les critiques soulignent des lacunes de sécurité et qualifient les actions de l'entreprise de cyniques. Malgré plus de 30 actions en justice, 23andMe rejette la responsabilité sur les clients. La réponse de l'entreprise, combinant violation de données, négligence et modifications opportunistes, soulève des préoccupations majeures concernant sa responsabilité envers la clientèle.

Dans une lettre de notification de violation de données déposée auprès des autorités de réglementation ce week-end, 23andMe a révélé que les pirates ont commencé à s'introduire dans les comptes des clients en avril 2023 et ont continué pendant la majeure partie du mois de septembre. En d'autres termes, pendant environ cinq mois, 23andMe n'a pas détecté une série de cyberattaques au cours desquelles les pirates tentaient - et réussissaient souvent - à forcer brutalement l'accès aux comptes des clients, selon une déclaration obligatoire que 23andMe a envoyée au procureur général de Californie.

Nous vous écrivons pour vous informer d'un incident concernant les informations personnelles que vous avez mises à disposition par le biais de la fonction facultative DNA Relatives de 23andMe. D'après notre enquête sur cet incident, nous pensons que seules les informations de votre profil Arbre généalogique ont été impliquées. Rien ne prouve que votre compte 23andMe ou toute autre information contenue dans votre compte ait été consultée lors de cet incident.

Quelles sont les informations concernées ? Notre enquête a déterminé qu'un cybercriminel a accédé à certaines informations sur votre ascendance que vous avez choisi de partager dans votre profil d'arbre généalogique, en particulier votre nom d'affichage, les étiquettes de relation et le pourcentage d'ADN que vous partagez avec le titulaire du compte muni d'un justificatif d'identité par l'intermédiaire duquel vos informations ont été accédées.

Les informations suivantes peuvent également avoir été consultées dans le cadre du profil de l'arbre généalogique si vous avez choisi de partager ces informations dans la fonction ADN des parents : lieu déclaré (ville/code postal) et année de naissance.

Plusieurs mois après que les pirates ont commencé à cibler les clients de 23andMe, l'entreprise a révélé que des pirates avaient volé les données génétiques et ancestrales de 6,9 millions d'utilisateurs, soit environ la moitié de ses clients.

Le 1er octobre 2023, un tiers a publié sur Internet un message affirmant détenir les informations des clients de la société de biotechnologie 23andMe et affichant un échantillon des données volées. 23andMe dit avoir immédiatement entamé une enquête et engagé des experts en réponse aux incidents pour les aider à déterminer l'étendue de toute activité non autorisée, dès qu’ils ont eu connaissance de l'incident.

Sur la base d’une enquête, « nous pensons qu'un acteur menaçant a orchestré une attaque de credential stuffing au cours de la période allant de mai 2023 à septembre 2023 pour accéder à un ou plusieurs comptes 23andMe qui sont connectés à vous par le biais de notre fonction optionnelle DNA Relatives. » Le credential stuffing est une méthode d'attaque dans laquelle les cybercriminels utilisent des listes d'identifiants d'utilisateurs précédemment compromis pour accéder aux systèmes d'une autre partie.

Les cybercriminels ont accédé à ces comptes lorsque les noms d'utilisateur et les mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d'autres sites Web précédemment compromis ou disponibles d'une autre manière. En utilisant cet accès, les cybercriminels ont pu accéder à des données qui comprenaient des informations sur le profil ADN de certains clients. Ils ont ensuite créé des messages sur un site web intitulé BreachForums qui comprenaient des liens vers le fichier de profil DNAR, qui pourrait avoir inclus des informations de profil de parenté ADN. Ces liens ont expiré dans les 24 heures suivant leur mise à disposition. D'autres sites web où le fichier de profil DNAR a été réaffiché ont été identifiés.

23andMe déclare avoir immédiatement commencé à travailler avec des experts en sécurité tiers pour enquêter sur l'incident, et aurait contacté les forces de l'ordre fédérales. Le 10 octobre, il a été demandé à tous les clients de 23andMe de réinitialiser leur mot de passe. Le 6 novembre, il a été demandé à tous les nouveaux clients et aux clients existants de se connecter en utilisant la vérification en deux étapes. Certaines fonctionnalités de la plateforme ont également interrompu temporairement.

Comme 23andMe l'a admis par la suite, les pirates ont pu accéder aux comptes d'environ 14 000 clients en forçant brutalement l'accès à des comptes qui utilisaient des mots de passe déjà rendus publics et associés à des adresses électroniques provenant d'autres violations. Les données volées comprenaient le nom de la personne, son année de naissance, les étiquettes de relation, le pourcentage d'ADN partagé avec des parents, les rapports d'ascendance et la localisation déclarée par la personne.

Absence d'excuses et manœuvres juridiques face à la violation de données

De nombreux clients se sont sentis frustrés par le comportement de 23andMe et ont décidé d'engager des poursuites contre l'entreprise. Habituellement, lorsqu'une entreprise subit une violation de données mettant en péril les informations personnelles de ses clients, elle présente des excuses ou exprime des regrets. Cependant, ce n'est pas le cas de 23andMe. À ce jour, l'entreprise ne semble pas avoir l'intention de présenter des excuses à ses clients ni de rechercher une résolution pacifique pour surmonter cette crise. Confrontée à plus de 30 actions en justice, 23andMe attribue la responsabilité aux victimes elles-mêmes dans le but de se décharger de toute culpabilité. Sa position a été communiquée dans une lettre adressée à un groupe de victimes.

Les critiques ont souligné plusieurs lacunes dans la sécurité de 23andMe. Certains ont noté que l'entreprise aurait dû demander aux utilisateurs d'adopter l'authentification multifactorielle, une pratique standard de sécurité qu'elle n'avait pas mise en place avant l'incident. Ce n'est qu'après le vol des données des utilisateurs que 23andMe a rendu l'authentification à plusieurs facteurs obligatoires. De plus, suite à la divulgation de la violation, l'entreprise a rapidement modifié ses conditions de service pour entraver les actions en justice des clients piratés.

Selon les analystes, en raison de clauses controversées dans les conditions de service de 23andMe, les litiges de masse, tels que les recours collectifs, sont considérés comme difficiles à entreprendre. En effet, les conditions de service de l'entreprise stipulent que les utilisateurs renoncent à leur droit de poursuivre l'entreprise et doivent plutôt opter pour l'arbitrage forcé, une voie légale qui, selon les experts, favorise largement les entreprises. Malgré cela, plusieurs victimes ont engagé des recours collectifs contre 23andMe, apparemment pour contourner l'accord initial de l'entreprise.

23andMe a apporté des modifications à ses conditions de service dans le but apparent d'entraver les plaintes déposées par les clients à la suite de la violation de données. La mise à jour précise également qu'aucun résultat de test génétique n'a été divulgué jusqu'à présent dans la fuite.

Cette modification semble être une tentative de dissuader les poursuites judiciaires liées à l'incident de violation de données. Malgré la réaction indignée en ligne, des experts estiment que ces ajustements pourraient ne pas suffire à protéger 23andMe devant les tribunaux, soulignant que les parties impliquées dans des litiges préfèrent souvent régler leurs différends en privé. Bien que la société ait signalé précédemment des recours collectifs en réponse au piratage, la véritable étendue de l'incident n'était pas claire jusqu'à récemment.

Des conditions modifiées pour contrer les litiges collectifs

Dans un courriel adressé aux clients en début de semaine, l'entreprise a annoncé avoir mis à jour la section « Résolution des litiges et arbitrage » de ses conditions afin de « mettre en place des procédures qui encourageront une résolution rapide des litiges et rationaliseront les procédures d'arbitrage lorsque plusieurs réclamations similaires sont déposées ». En cliquant sur le lien, les clients accèdent à la nouvelle version des conditions d'utilisation de l'entreprise, qui interdisent essentiellement aux clients de déposer des recours collectifs, une option que davantage de personnes pourraient envisager compte tenu de la clarté accrue sur l'ampleur du piratage.

« Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie ne peut engager des poursuites contre l'autre qu'individuellement et non dans le cadre d'un recours collectif, d'une action collective ou d'un arbitrage collectif », précisent les conditions mises à jour. Notamment, 23andMe considérera automatiquement les clients comme ayant accepté ces nouvelles conditions à moins qu'ils ne notifient expressément leur désaccord en envoyant un courriel dans les 30 jours suivant la réception de l'avis de l'entreprise. Dans le cas contraire, ils seront « réputés avoir accepté les nouvelles conditions », indique l'entreprise dans son courriel.

Les avocats spécialisés dans les atteintes à la protection des données ont qualifié les modifications des conditions d'utilisation de « cyniques », « intéressées » et de « tentative désespérée » de protéger 23andMe contre ses propres clients. Dans l'une des actions en justice, 23andMe a réagi en reprochant aux utilisateurs d'avoir prétendument réutilisé des mots de passe.

« Les utilisateurs ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe », a déclaré 23andMe dans la lettre adressée aux victimes de la violation. « L'incident n'est pas le résultat d'une prétendue incapacité de 23andMe à maintenir des mesures de sécurité raisonnables. »

Failles de sécurité et manipulation opportuniste

La récente admission de 23andMe concernant le vol de données génétiques par des pirates, combinée à la négligence de la cyberattaque pendant plusieurs mois, suscite des inquiétudes majeures quant à la gestion de la sécurité des données au sein de l'entreprise. L'affirmation selon laquelle 23andMe n'était pas au courant du piratage de ses clients sur une période prolongée soulève des interrogations cruciales sur la surveillance et la protection des informations sensibles.

La situation est exacerbée par le fait que 23andMe avait précédemment modifié ses conditions d'utilisation dans ce qui semble être une tentative opportuniste d'entraver les plaintes des clients. De plus, la tentative de l'entreprise de rejeter la responsabilité sur les utilisateurs en les accusant d'avoir prétendument réutilisé des mots de passe est jugée irresponsable. Cette attitude semble détourner l'attention de la question centrale de savoir si l'entreprise avait mis en place des mesures de sécurité adéquates pour protéger les données de ses clients.

Dans l'ensemble, la conjonction de la violation des données, de la négligence dans la détection de l'attaque et des modifications opportunistes des conditions d'utilisation soulève des inquiétudes sérieuses quant à la responsabilité et à l'intégrité de 23andMe envers sa clientèle. Les clients méritent une transparence totale et des assurances de sécurité robustes, des éléments qui semblent actuellement faire défaut dans la réponse de l'entreprise à cet incident.

Source : 23andMe

Et vous ?

Dans quelle mesure les modifications des conditions d'utilisation de 23andMe peuvent-elles affecter la capacité des clients à intenter des recours collectifs, et quelle est la position de l'entreprise à ce sujet ?

Comment la combinaison de la violation de données, de la négligence et des modifications opportunistes affecte-t-elle la réputation de 23andMe en tant qu'entreprise responsable et digne de confiance ?

Quels sont les enseignements tirés de cet incident en termes de sécurité des données et de responsabilité des entreprises dans le domaine de la biotechnologie ?

Comment les autorités de réglementation réagissent-elles à la situation, et quelles pourraient être les conséquences à long terme pour 23andMe sur le plan légal et commercial?

Voir aussi :

23andMe a modifié ses conditions de service pour empêcher les clients de porter plainte, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes

23andMe impute la violation de données à des utilisateurs qui ont recyclé des mots de passe sans les mettre à jour, l'entreprise tente de se décharger de toute responsabilité dans l'incident

[Jade Emy]

La société de tests ADN 23andMe fait face à une nouvelle action en justice pour atteinte à la vie privée, après une cyberattaque où les données de sept millions d'utilisateurs ont été volées.

L'entreprise de tests ADN 23andMe confrontée à une nouvelle action en justice pour atteinte à la vie privée. La société est accusée de ne pas avoir protégé la vie privée de millions de ses clients dans un nouveau recours collectif, après une cyberattaque dévastatrice en 2023.

Pendant cinq mois, en 2023, des pirates ont volé les données génétiques et ancestrales de sept millions d'utilisateurs, soit environ la moitié de la clientèle de 23andMe. Les pirates ont accédé pour la première fois aux données génétiques sensibles des clients en avril 2023, mais 23andMe n'a eu connaissance de la violation qu'en octobre, lorsque les informations volées ont été publiées sur Reddit et d'autres forums en ligne.

Selon la plainte déposée, l'entreprise n'a pas informé les clients d'origine juive, ashkénaze et chinoise que leurs données génétiques sensibles étaient spécifiquement ciblées, après avoir appris que ces données étaient partagées et vendues sur le dark web dans des "listes curatives". Il s'agit de la dernière des 30 actions en justice liées à la violation.

Dans une lettre adressée à certaines personnes en décembre, 23andMe a blâmé ses propres utilisateurs qui "ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite... d'incidents de sécurité antérieurs".

Et vous ?

Quel est votre avis sur cette affaire ?

Voir aussi :

23andMe impute la violation de données à des utilisateurs qui ont recyclé des mots de passe sans les mettre à jour. L'entreprise tente de se décharger de toute responsabilité dans l'incident

6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates, qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web

23andMe admet que des pirates ont volé des données génotypiques et que la cyberattaque est restée inaperçue pendant des mois, après avoir imputé la violation de données à des utilisateurs

[Bruno]

La chute de 23andMe de 6 milliards de dollars à près de 0 dollar, soit un effondrement de 98 % de sa valeur par rapport au sommet atteint en 2021,
cyberattaque et crise financière : le double revers

La dramatique chute du cours de l'action de 23andMe, passant de plus de 6 milliards de dollars à seulement 71 cents, soit une baisse de 98% depuis son pic en 2021, trouve son explication dans divers facteurs tels que la réversibilité de la croissance du chiffre d'affaires, l'augmentation des dépenses d'exploitation, et les perspectives sombres postérieures à la fin du partenariat avec GSK.

En parallèle à cette crise financière, la société spécialisée dans les tests génétiques a été victime d'une cyberattaque, exposant les données génétiques de ses clients pendant cinq mois sans détection. Les implications de cette violation ont entraîné des poursuites judiciaires et des critiques concernant les lacunes de sécurité de l'entreprise, incitant 23andMe à modifier ses conditions d'utilisation pour limiter les recours collectifs des clients. Cette réaction suscite davantage de controverses et soulève des inquiétudes quant à la responsabilité de l'entreprise envers sa clientèle.

23andMe a été confrontée à des défis liés à son modèle d'entreprise, où elle facture des tarifs élevés pour les tests génétiques, mais la plupart des clients ne reviennent pas après avoir consulté leurs résultats. Pour surmonter ces obstacles, 23andMe a lancé une formule d'abonnement et s'est aventurée dans la découverte de médicaments, mais ces initiatives n'ont pas encore montré de résultats significatifs.

La situation financière de l'entreprise est préoccupante, avec une perte nette de 75 millions de dollars au dernier trimestre, des liquidités de 256 millions de dollars et aucune dette. Il est prévu qu'elle devra lever des fonds pour survivre jusqu'en 2025. De plus, des poursuites judiciaires liées à des piratages de données pourraient entraîner des sanctions financières importantes.

Certains spéculent sur la possibilité d'une intervention financière de la part de la fondatrice et PDG, Ann Wojcicki, épouse du cofondateur de Google, Sergey Brin. Cependant, d'autres estiment qu'une faillite pourrait être la solution la plus probable. Les résultats les plus récents révèlent que le chiffre d'affaires de la société a chuté de 34 % au cours du trimestre précédent, pour s'établir à 50 millions de dollars seulement. Ses dépenses d'exploitation totales ont légèrement diminué pour atteindre 101 millions de dollars, grâce à trois séries de suppressions d'emplois. Au total, sa perte nette a grimpé à 75 millions de dollars.

23andMe est confrontée à de nombreux défis, mais certains pensent que son problème le plus important est son modèle d'entreprise. Dans ce modèle, l'entreprise facture entre 119 et 229 dollars pour effectuer un test génétique. Le problème, c'est que la plupart des clients vérifient leurs résultats une fois et ne reviennent jamais. Cette situation, associée au fait que le secteur est très concurrentiel, accroît les risques. On ne sait pas non plus combien de personnes souhaitent obtenir ces données ADN sur les marchés clés de l'entreprise, tels que les États-Unis et le Royaume-Uni.

23andMe comprend ce problème, ce qui explique pourquoi elle a lancé une formule d'abonnement et s'est lancée dans la découverte de médicaments. Par exemple, son abonnement Total Health coûte 99 dollars par mois. Les clients bénéficient du séquençage de l'exome, d'analyses de sang et d'un accès à des cliniciens. Je ne pense pas que ce service ait beaucoup d'utilisateurs à long terme.

23andMe, l'entreprise de biotechnologie, a admis qu'une cyberattaque avait exposé les données génétiques de ses clients pendant cinq mois sans être détectée. Les pirates ont accédé à des informations sur l'ascendance des utilisateurs, provoquant la frustration de nombreux clients. 23andMe a ensuite modifié ses conditions d'utilisation pour limiter les recours collectifs des clients, suscitant la colère des avocats spécialisés.

De nombreux clients ont exprimé leur frustration face au comportement de 23andMe et ont décidé d'intenter des poursuites contre l'entreprise. Habituellement, lorsqu'une entreprise fait face à une violation de données mettant en danger les informations personnelles de ses clients, elle présente des excuses ou exprime des regrets. Cependant, 23andMe ne semble pas avoir l'intention de s'excuser auprès de ses clients ni de chercher une résolution pacifique à cette crise. Confrontée à plus de 30 actions en justice, 23andMe attribue la responsabilité aux victimes elles-mêmes dans le but de se décharger de toute culpabilité, comme indiqué dans une lettre adressée à un groupe de victimes.

L'entreprise sous le feu des critiques pour ses pratiques et modifications contractuelles

Les critiques ont souligné plusieurs lacunes dans la sécurité de 23andMe. Certains ont noté que l'entreprise aurait dû demander aux utilisateurs d'adopter l'authentification multifactorielle, une pratique standard de sécurité qu'elle n'avait pas mise en place avant l'incident. Ce n'est qu'après le vol des données des utilisateurs que 23andMe a rendu l'authentification à plusieurs facteurs obligatoire. En outre, après la divulgation de la violation, l'entreprise a rapidement modifié ses conditions de service pour entraver les actions en justice des clients piratés.

Les analystes estiment que, en raison de clauses controversées dans les conditions de service de 23andMe, les litiges de masse, tels que les recours collectifs, sont considérés comme difficiles à entreprendre. En effet, les conditions de service de l'entreprise stipulent que les utilisateurs renoncent à leur droit de poursuivre l'entreprise et doivent plutôt opter pour l'arbitrage forcé, une voie légale qui, selon les experts, favorise largement les entreprises. Malgré cela, plusieurs victimes ont engagé des recours collectifs contre 23andMe, apparemment pour contourner l'accord initial de l'entreprise.

Dans le but apparent d'entraver les plaintes des clients à la suite de la violation de données, 23andMe a apporté des modifications à ses conditions de service. La mise à jour précise également qu'aucun résultat de test génétique n'a été divulgué jusqu'à présent dans la fuite. Cette modification semble être une tentative de dissuader les poursuites judiciaires liées à l'incident de violation de données. Malgré la réaction indignée en ligne, des experts estiment que ces ajustements pourraient ne pas suffire à protéger 23andMe devant les tribunaux, soulignant que les parties impliquées dans des litiges préfèrent souvent régler leurs différends en privé. Bien que la société ait signalé précédemment des recours collectifs en réponse au piratage, la véritable étendue de l'incident n'était pas claire jusqu'à récemment.

Dans un courriel adressé aux clients en début de semaine, l'entreprise a annoncé avoir mis à jour la section « Résolution des litiges et arbitrage » de ses conditions afin de « mettre en place des procédures qui encourageront une résolution rapide des litiges et rationaliseront les procédures d'arbitrage lorsque plusieurs réclamations similaires sont déposées ». En cliquant sur le lien, les clients accèdent à la nouvelle version des conditions d'utilisation de l'entreprise, qui interdisent essentiellement aux clients de déposer des recours collectifs, une option que davantage de personnes pourraient envisager compte tenu de la clarté accrue sur l'ampleur du piratage.

Les avocats spécialisés dans les atteintes à la protection des données ont qualifié les modifications des conditions d'utilisation de « cyniques », « intéressées » et de « tentative désespérée » de protéger 23andMe contre ses propres clients. Dans l'une des actions en justice, 23andMe a réagi en reprochant aux utilisateurs d'avoir prétendument réutilisé des mots de passe, déclarant que « les utilisateurs ont négligemment recyclé et omis de mettre à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe ». L'entreprise a affirmé que l'incident n'est pas le résultat d'une prétendue incapacité de 23andMe à maintenir des mesures de sécurité raisonnables.

Les analystes font remarquer des failles dans la structure opérationnelle de 23andMe

Les experts pointent du doigt des déficiences dans la structure opérationnelle de 23andMe. La chute vertigineuse du cours de l'action de l'entreprise, passant de plus de 6 milliards de dollars à seulement 71 cents, soit une baisse de 98 % depuis 2021, fait l'objet d'une analyse critique, prenant en considération divers éléments. Outre la réversibilité de la croissance du chiffre d'affaires et l'augmentation des dépenses d'exploitation, la fin du partenariat avec GSK ajoute des nuances sombres aux perspectives de la société.

Rolfe Winkler du WSJ souligne, dans son commentaire, la volatilité financière de 23andMe, qui, après son entrée en bourse en 2021 avec une valorisation initiale impressionnante, se retrouve aujourd'hui confrontée à une situation précaire. Les licenciements massifs, la vente d'une filiale et l'absence de bénéfices remettent en question la viabilité de son modèle économique.

Par ailleurs, des critiques émergent concernant les lacunes de sécurité de l'entreprise, entraînant des poursuites judiciaires. Les observateurs soulignent des failles dans le modèle d'entreprise de 23andMe, suggérant que la société aurait dû diversifier ses activités en explorant davantage les domaines de la généalogie et de la santé, plutôt que de se limiter principalement aux tests ADN. Des comparaisons avec des concurrents tels qu'Ancestry et Family Tree DNA mettent en évidence des approches commerciales plus diversifiées et durables.

L'absence de résultats significatifs pour les clients, associée à des erreurs de projection, soulève des questions sur la gestion stratégique de l'entreprise. La capacité d'innovation et d'adaptation de l'entreprise, cruciale dans des secteurs dynamiques comme celui des tests génétiques, est également remise en question. La situation actuelle de 23andMe semble découler d'une combinaison de facteurs financiers et stratégiques. L'entreprise se trouve à un carrefour critique, devant relever des défis multiples pour regagner la confiance des investisseurs et des clients, tout en démontrant sa capacité à évoluer dans un marché en constante mutation.

Source : Tradingview image

Et vous ?

Quel est votre avis sur le sujet ?

Quels éléments estimez-vous être les principaux facteurs à l'origine de la dramatique chute du cours de l'action de 23andMe ?

Voir aussi :

23andMe admet que des pirates ont volé des données génotypiques et que la cyberattaque est restée inaperçue pendant des mois, après avoir imputé la violation de données à des utilisateurs

23andMe a modifié ses conditions de service pour empêcher les clients de porter plainte, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes

La société de tests ADN 23andMe fait face à une nouvelle action en justice pour atteinte à la vie privée, après une cyberattaque où les données de sept millions d'utilisateurs ont été volées