Vendredi, la société de tests génétiques 23andMe a annoncé que des pirates avaient directement accédé aux données personnelles de 0,1 % de ses clients, soit environ 14 000 personnes. La société a également déclaré qu'en accédant à ces comptes, les pirates ont également pu accéder à "un grand nombre de fichiers contenant des informations de profil ancestrales pour d'autres utilisateurs". Mais 23andMe n'a pas révélé combien d'"autres utilisateurs" étaient concernés par la vulnérabilité, initialement divulguée par la société début octobre. Il s’avère que de nombreux « autres utilisateurs » ont été victimes de cette violation de données : au total, 6,9 millions de personnes ont été concernées.

La porte-parole de 23andMe, Katie Watson, a confirmé samedi dans un e-mail adressé à TechCrunch que des pirates avaient eu accès aux informations personnelles d'environ 5,5 millions de personnes qui avaient opté pour la fonction de recherche liée à l'ADN de 23andMe, qui permet aux utilisateurs de partager automatiquement certaines de leurs données avec d'autres. Les données volées comprenaient les noms individuels, les années de naissance, les étiquettes de relation, la proportion d'ADN partagé avec des proches, les rapports d'ascendance et la localisation autodéclarée.

23andMe a également confirmé que « des informations sur le profil de l'arbre généalogique ont également été consultées » pour un autre groupe d'environ 1,4 million de personnes qui ont opté pour DNARelatives, a déclaré le porte-parole, qui comprenait les noms, les étiquettes de relation, les années de naissance, les lieux auto-déclarés et si l'utilisateur avait décidé de partager ses informations. (23andMe déclare que certaines parties de ses e-mails constituent des « informations générales » et nécessitent que les deux parties acceptent à l'avance les conditions pertinentes).

On ne sait pas pourquoi 23andMe n’a pas divulgué les données vendredi. En prenant en compte les données nouvellement ajoutées, la violation de données a en réalité touché environ la moitié des 14 millions de clients de 23andMe.

Début octobre, un hacker a posté sur un forum de hackers bien connu, affirmant avoir volé les informations ADN des utilisateurs de 23andMe. Comme preuve de la violation, le pirate informatique a divulgué des données prétendument concernant 1 million d'utilisateurs d'origine juive ashkénaze et 100 000 utilisateurs chinois, et a demandé aux acheteurs potentiels d'acheter les données entre 1 et 10 dollars par compte individuel. Deux semaines plus tard, le même hacker a publié les enregistrements présumés de 4 millions de personnes supplémentaires sur le même forum de hackers.

Plus tard, un autre pirate informatique a publié une annonce pour un lot de données client 23andMe prétendument volées sur un autre forum de pirates, deux mois avant que cela ne soit largement rapporté.

En analysant les données divulguées il y a des mois, il n'est pas difficile de trouver des documents qui correspondent aux données génétiques publiées en ligne par des amateurs et des généalogistes. Les deux ensembles d'informations sont dans des formats différents mais contiennent certaines des mêmes données utilisateur uniques et générales, ce qui suggère que les données divulguées par les pirates sont au moins partiellement de véritables données client de 23andMe.

Lorsque 23andMe a révélé l'incident en octobre de cette année, il a déclaré que la violation de données avait été causée par la réutilisation de mots de passe par des clients, ce qui a permis aux pirates d'utiliser les mots de passe exposés lors de violations de données d'autres sociétés pour forcer brutalement les comptes des victimes. Étant donné que la fonctionnalité DNARelatives associe les utilisateurs à leurs proches, en compromettant un compte personnel, les pirates pourraient voir les données personnelles du titulaire du compte et de ses proches, amplifiant ainsi le nombre total de victimes de 23andMe.