Alors que le fournisseur de tests génétiques 23andMe fait face à plusieurs poursuites judiciaires pour une attaque de credential stuffing en octobre ayant conduit au vol de données client, la société a modifié ses conditions d'utilisation pour rendre plus difficile toute poursuite en justice contre la société.
En octobre, un acteur malveillant a tenté de vendre les données des clients de 23andMe et, après avoir échoué, a divulgué les données d'un million de Juifs ashkénazes et de 4,1 millions de personnes vivant au Royaume-Uni.
23andMe a déclaré à BleepingComputer que les données avaient été obtenues grâce à des attaques de credential stuffing visant à violer les comptes clients. En utilisant ce nombre limité de comptes, les acteurs de la menace ont utilisé le 'Parents ADN'fonctionnalité permettant de récupérer les données de millions d'individus.
Dans une mise à jour récente, 23andMe a déclaré à BleepingComputer qu'un total de 6,9 millions de personnes ont été touchées par la violation – 5,5 millions via la fonctionnalité DNA Relatives et 1,4 million de personnes via la fonctionnalité Arbre généalogique.
Conditions d'utilisation mises à jour pour éviter les poursuites
La violation a conduit à de nombreuses poursuites contre l'entreprise, obligeant 23andMe à mettre à jour son Conditions d'utilisation le 30 novembre pour contenir une disposition stipulant que l'arbitrage obligatoire est requis pour tous les litiges, plutôt que les procès devant jury ou les recours collectifs.
« Ces conditions d'utilisation contiennent une disposition obligatoire d'arbitrage des litiges qui exige le recours à l'arbitrage sur une base individuelle pour résoudre les litiges dans certaines circonstances, plutôt qu'à des procès devant jury ou à des recours collectifs », indique les conditions d'utilisation mises à jour.
Les e-mails envoyés aux clients concernant ce changement indiquent que les utilisateurs disposent d'un délai de 30 jours après réception de la notification par e-mail pour informer 23andMe à customercare@23andme.com qu'ils ne sont pas d'accord avec les nouvelles conditions.
Ceux qui envoient un e-mail contestant la mise à jour resteront sur les conditions d’utilisation précédentes.
Nancy Kim, professeure au Chicago-Kent College of Law, dit à Axios cette modification des conditions d'utilisation ne protégera probablement pas 23andMe des poursuites judiciaires car il sera difficile de prouver qu'ils ont donné un préavis raisonnable pour se retirer des nouvelles conditions.