📰 Source : BleepingComputer | Date de publication : 29 mai 2026 | Contexte : Suite à la violation de données de 2023 ayant exposé les informations de près de 7 millions de clients de 23andMe (désormais Chrome Holding Co.), le procureur général de Californie Rob Bonta a déposé une plainte formelle contre l’entreprise.
🔍 Incident d’origine (2023)
L’attaque a été révélée en octobre 2023, lorsque des acteurs malveillants ont proposé à la vente des enregistrements volés à 23andMe, accompagnés de fuites d’échantillons de données pour en prouver l’authenticité. L’entreprise a confirmé l’authenticité des données et attribué l’intrusion à une attaque par credential stuffing ciblant des comptes avec des identifiants faibles.
Les attaquants ont exfiltré des données d’utilisateurs ayant activé la fonctionnalité ‘DNA Relatives’, puis ont accédé à un second ensemble de comptes beaucoup plus large ne l’utilisant pas. Au total, 6,9 millions de clients ont été affectés, avec exposition de :
- Données génétiques
- Informations de prédisposition sanitaire
- Données d’ascendance et d’ethnicité
- Informations sur les parents biologiques et correspondances ADN
⚖️ Plainte du procureur général
La plainte déposée par Rob Bonta reproche à 23andMe :
- L’absence de mesures de sécurité raisonnables contre les attaques par credential stuffing
- Des opportunités manquées de détecter l’intrusion
- Un bug de codage dans la fonctionnalité DNA Relatives ayant amplifié la violation
- Des déclarations publiques trompeuses avant et après l’incident (affirmations de haute sécurité, minimisation de l’incident, accusation des clients pour réutilisation de mots de passe)
📋 Lois violées invoquées :
- California Genetic Information Privacy Act
- California Reasonable Data Security Law
- California Consumer Privacy Act (CCPA)
- False Advertising Law
- Unfair Competition Law
💰 Sanctions demandées : injonction et pénalités statutaires de 1 000 à 7 500 dollars par violation. La procédure de faillite concernant la vente des données génétiques des Californiens est traitée séparément.
📌 Type d’article : Cyberlégislation / incident de conformité. L’article documente les suites judiciaires d’une violation de données majeure et les manquements réglementaires reprochés à l’entreprise.
🧠 TTPs et IOCs détectés
TTP
- T1110.004 — Brute Force: Credential Stuffing (Credential Access)
- T1078 — Valid Accounts (Initial Access)
- T1530 — Data from Cloud Storage (Collection)
- T1567 — Exfiltration Over Web Service (Exfiltration)
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 3184 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/california-ag-sues-23andme-over-2023-breach-exposing-health-data/