Un pirate informatique prétend avoir détourné les informations de profil de « millions » d’utilisateurs du populaire site de tests génétiques 23andMe.com.
Qu’est-ce qui est à risque ? Certaines des informations les plus personnelles possibles. Les informations de profil varient selon l’utilisateur, les forfaits et services qu’il a sélectionnés et la manière dont le pirate informatique y a accédé. Pourtant, ils incluent potentiellement des informations personnelles telles que le nom, le sexe, l’année de naissance, l’emplacement actuel et certains détails sur l’ascendance génétique et les résultats de santé.
23andMe continue de tenir ses utilisateurs informés des comptes piratés sur son site Blog. Le 9 octobre, ils ont partagé ce qui suit :
« Alors que nous poursuivons notre enquête sur cette affaire, nous pensons que les acteurs malveillants ont pu accéder à certains comptes dans des cas où les utilisateurs recyclaient leurs identifiants de connexion, c’est-à-dire que les noms d’utilisateur et les mots de passe utilisés sur 23andMe.com étaient les mêmes que ceux utilisés sur d’autres sites Web. qui ont déjà été piratés.
Actuellement, il semble que les systèmes de 23andMe n’aient pas été piratés. Il semble plutôt que l’erreur humaine soit à blâmer : les personnes qui ont réutilisé les mêmes mots de passe compromis sur différents sites ont conduit à la compromission de leurs comptes.
Cependant, l’attaquant a eu accès aux informations de nombreux utilisateurs qui n’étaient pas eux-mêmes compromis mais qui ont opté pour la fonctionnalité DNA Relatives. Selon 23andMe, DNA Relatives fonctionne comme suit :
Si vous choisissez de vous inscrire et de participer à DNA Relatives, tous vos matchs pourront voir les informations suivantes vous concernant :
- Votre nom d’affichage.
- Le sexe de votre profil.
- Ta photo de profil.
- Votre relation prévue.
- Le pourcentage d’ADN et le nombre de segments que vous partagez, mais pas l’emplacement de ces segments.
- Parents en commun.
Cela élargit encore davantage l’impact de l’attaque. Les utilisateurs dont les comptes sont compromis peuvent contenir des informations provenant de comptes non compromis, car les deux parties ont opté pour la fonctionnalité DNA Relatives. De cette manière, un seul piratage peut conduire à une fuite d’informations plus large. Même si les autres utilisateurs ont des mots de passe sécurisés.
Selon les rapports, le pirate qui revendique la responsabilité l’a proposé à la vente sur un forum du Dark Web. Comme exemple apparent de la façon dont les données peuvent être présentées, le pirate informatique a répertorié les données présumées d’un million d’utilisateurs juifs ashkénazes, des personnes d’origine juive d’Europe centrale ou orientale. Un autre aurait répertorié 100 000 dossiers présumés de personnes d’origine chinoise.
Quelles mesures 23andMe a-t-il prises pour protéger ses utilisateurs ?
Selon la déclaration de l’entreprise sur son blog, « Si nous apprenons que les données d’un client ont été consultées sans son autorisation, nous l’en informerons directement avec plus d’informations. » De plus, la société a déclaré :
«Notre enquête se poursuit et nous avons fait appel à l’aide d’experts légistes tiers. Nous travaillons également avec les responsables de l’application des lois fédérales.
Nous contactons nos clients pour leur fournir une mise à jour sur l’enquête et les encourager à prendre des mesures supplémentaires pour assurer la sécurité de leur compte et de leur mot de passe. Par prudence, nous exigeons que tous les clients réinitialisent leurs mots de passe et encourageons l’utilisation de l’authentification multifacteur (MFA).
De plus, nous vous suggérons de suivre ces étapes et bien plus encore.
Les trois étapes que tout utilisateur de 23andMe doit suivre immédiatement.
Comme cette nouvelle peut être potentiellement troublante, les utilisateurs de 23andMe peuvent suivre les étapes suivantes. Ils sécuriseront vos comptes à l’avenir et vous aideront à repousser les tentatives d’usurpation d’identité.
- Changez immédiatement vos mots de passe : Face à l’attaque, 23andMe a obligé tous ses utilisateurs à réinitialiser leurs mots de passe. Cependant, changer les mots de passe ne suffit pas. Chaque mot de passe doit être fort et unique. Pour chaque compte. Si cela ressemble à une tâche, un gestionnaire de mots de passe peut vous aider. Il crée des mots de passe forts et uniques et les stocke en toute sécurité. De cette façon, vous pouvez éviter d’être victime d’attaques dans lesquelles des acteurs malveillants tentent d’utiliser des mots de passe volés sur un compte pour en pirater un autre. C’est la beauté des mots de passe non répétitifs.
- Utilisez l’authentification multifacteur (MFA) : De nombreux comptes en ligne proposent la MFA, également connue sous le nom d’authentification à 2 facteurs ou 2FA. Cela ajoute une étape supplémentaire au processus de connexion, comme l’envoi d’un code à six chiffres sur votre téléphone avec un appel ou un SMS. Si vos comptes le prennent en charge, utilisez-le. Cela rend beaucoup plus difficile pour les pirates informatiques d’accéder à votre compte, même s’ils se retrouvent avec votre mot de passe. De plus, ne fournissez jamais de numéro d’authentification à quelqu’un d’autre. C’est à vous, et à vous seul. Traitez-le comme un code secret. Spécifique aux utilisateurs de 23andMe, vous pouvez activer MFA avec les instructions sur cette page.
- Surveillez votre identité, votre crédit et vos transactions : À la suite de toute attaque mettant vos informations personnelles en danger, gardez un œil sur tout ce qui vous concerne. Vos comptes bancaires, cartes de crédit, finances en ligne et votre cote de crédit. Les pirates informatiques considèrent les informations personnelles comme une mine d’or. À juste titre. Grâce à cela, ils peuvent compromettre d’autres comptes ou commettre d’autres crimes d’identité. Comme déposer une réclamation d’assurance ou ouvrir de nouvelles marges de crédit à votre nom. Logiciel de protection en ligne complet peut vous aider à détecter une activité de compte non autorisée, des modifications dans votre rapport de crédit ou si vos informations personnelles se retrouvent sur le dark web. Cela vous fait gagner des heures et des heures d’efforts et vous donne l’assurance que tout va bien d’un simple coup d’œil.
Examinez la protection contre le vol d’identité
Notre Couverture contre le vol d’identité et la restauration peut vous aider à mettre les choses au clair si une usurpation d’identité vous arrive. Des experts en recouvrement agréés peuvent prendre des mesures pour réparer votre identité et votre crédit. De plus, vous bénéficiez d’une couverture allant jusqu’à 2 millions de dollars pour les honoraires d’avocat, les frais de déplacement et le remboursement des fonds volés. Cela vous offre une assurance plus forte et vous libère du temps et du fardeau financier liés au vol d’identité.
Et pour tout le monde, pensez à ce que vous partagez en ligne.
Bien au-delà des utilisateurs de 23andMe, tous ceux qui se connectent devraient prendre note de cette attaque. C’est à peu près nous tous. C’est l’un des arguments les plus solides en faveur de mots de passe forts et uniques et pour limiter les informations que vous partagez en ligne. Dans ce cas, même un mot de passe sécurisé n’a pas permis de protéger les informations personnelles de millions de personnes.
Si vous êtes un utilisateur de 23andMe, vous pouvez vous désinscrire de DNA Relatives en sélectionnant leGérer les préférencesoption dans DNA Relatives ou depuis votreParamètres du comptepage. Certes, cela vous empêchera d’obtenir des informations génétiques plus approfondies auprès des autres utilisateurs, mais cela offrira une protection supplémentaire si une attaque similaire se produit.
Pour nous tous, le partage et le stockage d’informations personnelles font partie de la vie en ligne. Plus vous partagez et stockez en ligne, plus vous prenez de risques. Et vous avez un certain contrôle là-dessus.
Réfléchissez à ce que vous partagez, avec qui vous le partagez, ce qu’ils font avec ces informations, avec qui ils les partagent, sous quelle forme et dans quelles circonstances. Oui, cela fait beaucoup à considérer. Ce qui complique encore davantage la situation, c’est que de nombreux sites, services et applications que nous utilisons ne permettent pas de répondre facilement à ces questions. Les conditions d’utilisation et les politiques en matière de données permettent rarement une lecture légère et compréhensible.
Heureusement, vous pouvez vous tourner vers des ressources fiables pour obtenir des réponses. Le Programme de confidentialité Common Sense évalue les politiques de confidentialité en pensant aux élèves de la maternelle à la 12e année. La Fondation Mozilla Site Web Confidentialité non incluse évalue la confidentialité des applications et des appareils connectés, y compris les applications, les appareils domestiques intelligents et les voitures.
Dans un paysage autrement trouble, la question de la vie privée est la suivante : la récompense vaut-elle le risque ? Si vous partagez ces informations, êtes-vous d’accord pour qu’une personne indésirable y accède ? Surtout si les risques liés à la vie privée sont difficiles à repérer.
En termes simples, moins de partage signifie plus de confidentialité. Réfléchissez bien au moment et à l’endroit où vous partagez. Et avec qui.
Fermez vos anciens comptes pour encore plus de confidentialité et de sécurité.
Sur ce point, il est peut-être temps de faire le ménage.
Nous nous sommes connectés à toutes sortes de choses au fil des ans. Beaucoup d’entre eux auxquels nous ne nous connectons plus. Et d’autres que nous avons complètement oubliés. Sur ces forums, sites et magasins, vous trouverez vos informations personnelles à un degré ou à un autre. Si l’un de ces sites est compromis, vos informations personnelles qui y sont stockées pourraient également être compromises. Cela vous donne une bonne raison de supprimer ces anciens comptes.
Un outil tel que notre nettoyage de compte en ligne peut vous aider à supprimer vos informations des comptes en ligne. Vous le trouverez dans notre logiciel de protection en ligneavec notre Nettoyage des données personnelles– qui permet de supprimer vos informations personnelles des sites de courtage de données à risque. Il vous montre où vos informations personnelles ont été trouvées et de quelles données disposent les sites. Selon votre plan, cela peut aider à le nettoyer.
Les données compromises par 23andMe : un signal d’alarme pour nous tous.
L’histoire de 23andMe continue de se développer. Pourtant, nous avons déjà (ré)tiré une grande leçon de tout cela. Des mots de passe forts et uniques sont absolument indispensables. Et les enjeux en matière de confidentialité en ligne n’ont jamais été aussi élevés.
Aujourd’hui, nous confions beaucoup de choses à Internet, qui inclut de plus en plus nos informations sur la santé et le bien-être, sans parler des informations génétiques avec des services comme 23andMe. Prendre les mesures décrites ici peut vous aider à vous protéger contre les atteintes à la vie privée et la perte d’informations personnelles. Et comme nous l’avons vu, protégez aussi les autres. Considérez-les, que vous soyez un utilisateur de 23andMe ou non.
