Après qu'un pirate informatique a annoncé des millions de "données" volées à 23andMe sur un forum en ligne ce mois-ci, la société a déclaré qu'elle travaillait avec les forces de l'ordre fédérales et les experts médico-légaux pour enquêter sur cette affaire.

Dans les nouveaux courriels, dont une copie a été vue par Reuters, 23andMe informe ses clients qu'il y a eu une violation d'un ou plusieurs comptes connectés aux leurs par le biais de la fonction "DNA Relatives". Cette fonction permet aux utilisateurs du monde entier de se connecter et de partager leurs données personnelles, y compris les étiquettes de relation, les rapports d'ascendance et les segments d'ADN correspondants, le lieu, l'année de naissance et les noms de famille, entre autres.

"Il y a eu un accès non autorisé à un ou plusieurs comptes 23andMe qui étaient connectés à vous par le biais de DNA Relatives", a déclaré la société aux clients dans l'e-mail de mardi. "En conséquence, les informations du profil DNA Relatives que vous avez fournies dans cette fonctionnalité ont été exposées à l'acteur de la menace."

23andMe propose des tests ADN qui permettent aux utilisateurs d'en savoir plus sur leurs ancêtres. Depuis l'annonce du piratage, de nombreux clients ont exprimé leur inquiétude quant à l'utilisation de leur origine ethnique et d'autres informations sensibles qui pourraient être utilisées contre eux en cas de fuite. La semaine dernière, un législateur américain a demandé plus de détails sur les fuites.

Sur les réseaux sociaux, plusieurs utilisateurs ont déclaré mardi avoir reçu l'e-mail, mais le nombre de clients informés n'était pas clair. La porte-parole de 23andMe, Katie Watson, s'est refusée à tout commentaire, invoquant l'enquête en cours, et a renvoyé au blog où l'entreprise a déclaré, le 20 octobre, qu'elle désactivait temporairement certaines fonctions de "DNA Relatives" afin de protéger la vie privée des utilisateurs.

Auparavant, la société avait déclaré que les pirates pouvaient avoir utilisé des informations d'identification provenant d'autres sites web pour accéder aux comptes 23andMe - une technique connue sous le nom de "credential stuffing" (bourrage d'informations d'identification). Elle a conseillé aux utilisateurs de modifier leurs informations de connexion et d'activer l'authentification à deux facteurs pour éviter toute compromission.