Vendredi 1er décembre, la société de tests ADN dits récréatifs 23andMe a annoncé, dans un document remis à la Securities and Exchange Commission (SEC, l'organisme américain de contrôle des marchés financiers), qu'environ 0,1% de sa base utilisateurs a été directement touché par l'attaque d'un pirate d'octobre dernier. TechCrunch a fait un calcul, en s'appuyant sur le rapport annuel le plus récent de l'entreprise, on parlerait donc d'environ 14 000 comptes.

Ça peut paraître un chiffre peu élevé. Mais les attaquants ont pu accéder à des informations sur d'autres comptes via ces 14 000 comptes auxquels ils ont eu accès directement. Et l'entreprise, elle-même, explique, dans ce document, que « l'auteur de la menace a également accédé à un nombre significatif de fichiers contenant des informations de profil sur l'ascendance d'autres utilisateurs que ces derniers ont choisi de partager lorsqu'ils ont opté pour la fonction "DNA Relatives" de 23andMe et a publié certaines informations en ligne. Nous nous efforçons de retirer ces informations du domaine public ».

L'entreprise ne donne aucune indication de ce qu'elle entend par « significatif ». 23andMe ajoute qu'elle estime « que l'activité de l'acteur de la menace est contenue ».

Après avoir annoncé son attaque, le pirate Golem avait publié les résultats de tests (de personnes aux États-Unis et en Europe de l’Ouest) sur BreachForums. Quant à 23andMe, la société avait expliqué avoir réinitialisé de force les mots de passe de ses clients trois jours après avoir publié son billet de blog annonçant la fuite.

• Des données d'utilisateurs de l'entreprise de tests génétiques 23andMe piratées
• Le ciel s’assombrit pour 23andMe : des millions de tests ADN publiés par un pirate
• 23andMe réinitialise les mots de passe de ses clients