La violation de données 23andMe, révélée par la société de tests génétiques vendredi dernier, impliquait un accès non autorisé aux données personnelles d’environ 0,1 % de ses clients, soit environ 14 000 personnes. Lors de cet incident, la société a reconnu que les pirates ont non seulement accédé à ces comptes, mais ont également obtenu « un nombre important de fichiers contenant des informations de profil sur l’ascendance d’autres utilisateurs ». Cependant, 23andMe n’a pas précisé le nombre total d’« autres utilisateurs » concernés par la violation.
Tous les détails : violation de données 23andMe
Des enquêtes plus approfondies ont révélé un impact considérable : environ 6,9 millions de personnes ont été victimes de cette violation de données de 23andMe. Dans une déclaration à TechCrunch Samedi, la porte-parole de 23andMe, Katie Watson, a confirmé que la violation avait compromis les informations personnelles d’environ 5,5 millions d’utilisateurs abonnés à la fonctionnalité 23andMe DNA Relatives.
Cette fonctionnalité, qui facilite le partage automatique de données entre clients, a conduit à un accès non autorisé à des informations sensibles, notamment les noms, les années de naissance, les étiquettes de relation, le pourcentage d’ADN partagé avec des proches, les rapports d’ascendance et les emplacements auto-déclarés.
23andMe a également vérifié qu’un groupe distinct d’environ 1,4 million de personnes ayant opté pour la fonctionnalité DNA Relatives « a vu les informations de leur profil d’arbre généalogique consultées ». Ces données compromises incluent les noms d’affichage, les étiquettes de relation, l’année de naissance, l’emplacement auto-déclaré et si l’utilisateur a choisi de partager ses informations, selon le porte-parole.
Les raisons pour lesquelles 23andMe a omis ces chiffres dans sa publication de vendredi restent floues. Avec la révélation de ces nouveaux chiffres, il semble que la violation de données de 23andMe affecte près de la moitié des 14 millions de clients déclarés par 23andMe.
Début octobre, un pirate informatique a revendiqué la responsabilité du vol des informations ADN des utilisateurs de 23andMe, en faisant cette affirmation sur un forum de piratage notable. Comme preuve de la violation, ils ont publié les données présumées d’un million d’utilisateurs d’origine juive ashkénaze et de 100 000 utilisateurs chinois, tarifant les données entre 1 et 10 dollars par compte individuel. Deux semaines plus tard, le même pirate informatique a annoncé de prétendus enregistrements de quatre millions de personnes supplémentaires sur le même forum.
Selon le rapport, TechCrunch a découvert qu’un autre pirate informatique sur un autre forum de piratage avait déjà proposé une collection de données client 23andMe prétendument volées deux mois avant la publicité largement reconnue. Une analyse détaillée par TechCrunch De ces anciennes données divulguées ont révélé que certains enregistrements correspondaient à des informations génétiques précédemment publiées en ligne par des passionnés et des généalogistes. Bien qu’ils soient formatés différemment, les deux ensembles de données partageaient des détails utilisateur et génétiques uniques, indiquant que les données divulguées étaient au moins partiellement des données client 23andMe authentiques.
Dans son annonce d’octobre concernant la violation, 23andMe a attribué l’incident à des clients réutilisant leurs mots de passe. Cette pratique a permis aux pirates d’utiliser des méthodes de force brute sur les comptes des victimes en utilisant des mots de passe publiquement connus provenant de violations de données d’autres entreprises.
L’impact de la violation de données de 23andMe a été amplifié grâce à la fonctionnalité DNA Relatives, qui connecte les utilisateurs avec leurs proches. En accédant à un seul compte, les pirates pourraient consulter les données personnelles non seulement du propriétaire du compte, mais également de ses proches. Cette méthode a considérablement augmenté le nombre total de personnes concernées par la violation de données 23andMe.
Quel montant d’indemnisation une entreprise américaine paierait-elle dans de tels cas ?
Les indemnisations ou sanctions en cas de violation de données impliquant les informations personnelles de 7 millions de personnes peuvent varier considérablement et ne sont pas uniquement déterminées par des décisions précédentes. Plusieurs facteurs influencent l’indemnisation ou les pénalités, notamment :
- Nature du manquement : Était-ce dû à une négligence, à un manque de mesures de sécurité ou à une attaque délibérée ?
- Type de données compromises : Des informations personnelles sensibles (comme les numéros de sécurité sociale, les détails financiers, les dossiers médicaux) ont-elles été exposées ?
- Lois et règlements : Différents États ont des lois différentes régissant les violations de données, et il existe des réglementations fédérales comme HIPAA (pour les données de santé) et GDPR (pour les données des citoyens européens) qui peuvent également s’appliquer.
- Dommage démontré : Si la violation a entraîné un vol d’identité, des pertes financières ou d’autres préjudices aux personnes concernées, l’indemnisation pourrait être plus élevée.
Il n’existe pas de formule fixe ni de précédent fixant directement l’indemnisation d’un nombre spécifique de personnes concernées. Les tribunaux ou les organismes de réglementation évaluent généralement ces facteurs pour déterminer les pénalités, les amendes ou l’indemnisation. Les entreprises peuvent également négocier des règlements en dehors des tribunaux.
Par exemple, dans certaines affaires très médiatisées, les entreprises ont payé des indemnités allant de plusieurs milliers à des millions, voire des milliards de dollars, selon la gravité et l’impact de la violation. Chaque cas est unique et tend à être évalué individuellement en fonction des circonstances et des lois applicables à ce moment-là.
Exemples d’incidents
Gardez à l’esprit que chaque cas implique des circonstances, des populations affectées et des contextes juridiques différents, de sorte que les résultats peuvent varier pour les victimes de violation de données de 23andMe.
Violation de données Equifax
En réponse à un violation de données touchant environ 147 millions de personnes, Equifax a accepté un règlement d’environ 700 millions de dollars. Cet accord prévoyait une restitution financière pour les personnes concernées, des sanctions imposées et des dispositions relatives aux services continus de surveillance du crédit.
Violation de données Horizon
Dans le règlement concernant le Violation de données Horizonles membres du groupe visé par le règlement qui déposent une réclamation sont éligibles à une gamme de compensations :
- Remboursement des dépenses réelles, documentées et non remboursées engagées en raison de l’incident de sécurité des données, avec une limite maximale de 5 000 $.
- Rémunération pour le temps investi dans la résolution des problèmes découlant de l’incident de sécurité des données, plafonnée à 5 heures avec un taux de 25,00 $ de l’heure, pour un maximum de 125 $.
- Un paiement en espèces allant jusqu’à 50 $ disponible pour tous les membres du groupe de règlement qui revendiquent une créance. De plus, un paiement supplémentaire pouvant aller jusqu’à 50 $ est prévu pour ceux qui résidaient en Californie au moment de l’incident de sécurité des données.
Règlement de confidentialité de Facebook
L’indemnisation exacte de chaque demandeur dans le Règlement de confidentialité de Facebook varie en fonction de plusieurs critères, dont la durée de leur activité sur la plateforme. Bien qu’il soit difficile de prédire les montants précis, le paiement médian estimé s’élève à environ 30 $, selon les projections des avocats du groupe.
Violation de données T-Mobile
S’il est approuvé, Règlement de 350 millions de dollars proposé par T-Mobile se classera au deuxième rang des paiements les plus importants dans une affaire de violation de données aux États-Unis. Ce règlement, relatif à une cyberattaque de 2021 qui a exposé les données personnelles de plus de 100 millions d’utilisateurs, pourrait potentiellement être attribué aux clients actuels et anciens de T-Mobile.
Donc…
Bien que les résultats des règlements pour violation de données puissent varier considérablement en fonction de facteurs juridiques et des circonstances spécifiques du cas, il reste incertain ce qu’impliquera la résolution finale de la violation de données 23andMe. Les indemnisations et les recours offerts aux parties concernées diffèrent souvent en fonction de la nature de la violation, de l’étendue des données compromises et du cadre juridique de la juridiction. Par conséquent, il est difficile de prédire l’issue exacte de l’incident 23andMe, car chaque cas est soumis à son ensemble unique de variables et de considérations juridiques.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
