Ce que les entreprises peuvent apprendre de la réponse aux violations de 23andMe
Table des matières:
Chaque responsable d'entreprise et chaque responsable informatique redoute le jour où il sera obligé de réagir à une grave violation de données. Ceux qui ont la malchance de vivre un tel incident devraient disposer d’un ensemble de protocoles et de processus bien rodés à suivre dans le cadre de leur plan de réponse aux incidents. Mais même cela n’atténuera peut-être pas la suite.
Une récente faille dans la société de tests ADN 23andMe offre des informations intéressantes sur les raisons pour lesquelles la gestion de la réputation et la communication en cas de crise devraient être au cœur de la réponse aux incidents.
Qu'est-il arrivé?
C'est la première fois que les clients ont entendu parler de la violation c'était en octobre, lorsque la société de biotechnologie basée à San Francisco a révélé qu'elle enquêtait sur des allégations selon lesquelles des pirates informatiques auraient compromis un grand volume de données d'utilisateurs. Au moins un acteur malveillant cherchait activement à vendre ce qu'il prétendait être une mine de 300 To de données utilisateur depuis août. Des millions de disques auraient été mis en vente sur le dark web.
It s'est produit plus tard que les pirates ont initialement piraté les comptes d'environ 0.1 % de sa clientèle, soit 14,000 23 clients, grâce à une technique classique de « credential stuffing ». En d’autres termes, ils ont obtenu des informations d’identification que les clients avaient réutilisées sur plusieurs comptes et les ont utilisées pour déverrouiller leurs profils XNUMXandMe.
"En utilisant cet accès aux comptes remplis d'informations d'identification, l'acteur malveillant a également accédé à un nombre important de fichiers contenant des informations de profil sur l'ascendance d'autres utilisateurs que ces utilisateurs ont choisi de partager en s'inscrivant à la fonctionnalité DNA Relatives de 23andMe et a publié certaines informations en ligne", a-t-il ajouté. L'entreprise a continué.
23andMe confirmé plus tard qu'un total de 6.9 millions de personnes ont été touchées. En d’autres termes, en compromettant un compte via le credential stuffing, le pirate informatique a pu accéder aux données de cet utilisateur et de ses proches, augmentant ainsi considérablement la portée de la violation.
Pour la plupart des victimes, les données volées comprenaient leur nom, leur année de naissance, les étiquettes de relation, le pourcentage d'ADN partagé avec des proches, les rapports d'ascendance et l'emplacement auto-déclaré. Sans surprise, cet incident a donné lieu à des dizaines de recours collectifs.
Réponse de 23andMe
C’est là que les choses commencent à devenir plus controversées. Une lettre envoyé par les avocats de 23andMe aux victimes de la violation le 11 décembre semble imputer la violation à ces dernières. Premièrement, il affirme que « les utilisateurs ont recyclé par négligence et n’ont pas mis à jour leurs mots de passe » à la suite de violations passées ; permettant les attaques de credential stuffing.
"Par conséquent, l'incident n'était pas le résultat d'un prétendu manquement de 23andMe à maintenir des mesures de sécurité raisonnables", ajoute la lettre.
Ensuite, les avocats du cabinet affirment que même si une violation s'est produite, elle a été corrigée. 23andMe réinitialise tous les mots de passe concernés et oblige désormais les utilisateurs à utiliser l'authentification à deux facteurs (2FA) lors de la connexion.
Enfin, ils affirment que toute information consultée par des pirates informatiques « ne peut être utilisée à des fins nuisibles ».
"Les informations que l'acteur non autorisé a potentiellement obtenues sur les plaignants n'auraient pas pu être utilisées pour causer un préjudice pécuniaire (elles n'incluaient pas leur numéro de sécurité sociale, leur numéro de permis de conduire ou toute information de paiement ou financière)", note la lettre.
Les experts n’en sont pas si sûrs. Le PDG de CyberSmart, Jamie Akhtar, affirme que cet argument « n'est pas fondé sur la réalité des cybermenaces modernes ».
« Ces données pourraient facilement être utilisées par les cybercriminels pour lancer des campagnes d'ingénierie sociale ou même pour accéder aux services financiers d'un individu », explique-t-il à ISMS.online. "Beaucoup de gens utilisent le nom de jeune fille de leur mère comme question de sécurité supplémentaire."
Des points d’interrogation subsistent également quant à la décision de présenter les victimes de la violation comme les seules responsables de l’incident. Même si les 0.1 % dont les comptes ont été compromis par le credential stuffing sont en partie coupables, les millions de personnes dont les informations ADN ont ensuite été récupérées n'ont aucun dossier à répondre, affirment les avocats des accusés.
« La tentative de 23andMe de se soustraire à ses responsabilités en rejetant la faute sur ses clients ne fait rien pour ces millions de consommateurs dont les données ont été compromises sans que ce soit de leur faute. » affirme Hassan Zavareei, l'un des avocats représentant ces victimes.
« 23andMe savait ou aurait dû savoir que de nombreux consommateurs utilisent des mots de passe recyclés et que 23andMe aurait donc dû mettre en œuvre certaines des nombreuses garanties disponibles pour se protéger contre le credential stuffing – d'autant plus que 23andMe stocke des informations d'identification personnelles, des informations de santé et des informations génétiques sur sa plateforme. .»
Ces mesures auraient pu inclure l’obligation 2FA pour la connexion, ce que l’entreprise a ensuite introduit. Un autre moyen potentiel d'atténuer la compromission des comptes clients consiste à effectuer des vérifications sur les bases de données d'informations d'identification précédemment violées, par exemple via une API pour HaveIBeenPwned? site.
Une mauvaise journée pour les relations publiques
Tout cela illustre pourquoi une communication de crise rigoureuse et une gestion de la réputation devraient faire partie des processus de réponse aux incidents de votre organisation. Selon IBM, le coût de la perte d’activité – qui comprend le coût des clients perdus et de l’acquisition de nouveaux clients, ainsi que les pertes de réputation et la diminution de la clientèle – représente près d’un tiers (29 %) du coût moyen d’une violation de données.
Yvonne Eskenzi, co-fondatrice de l'agence de relations publiques de sécurité Eskenzi PR, affirme que la lettre de 23andMe était probablement motivée par son service juridique, mais risque de provoquer la colère des clients et d'alimenter une réaction populaire contre l'entreprise.
"Une déclaration de violation ne devrait jamais faire la une des journaux", a-t-elle déclaré à ISMS.online.
« Des violations apparaissent quotidiennement dans l’actualité. Cependant, les déclarations sont généralement si banales qu’elles n’apparaissent pas comme un sujet de discussion. Ils doivent être factuels et utilisés par les journalistes et les clients à des fins d’information et non de spéculation. Mettez en avant ce qui est fait et ce que les clients peuvent faire, plutôt que d’accentuer les points négatifs. »
Six étapes pour une meilleure communication en matière de réponse aux incidents
Normes de bonnes pratiques en matière de cybersécurité comme ISO 27001 peut aider votre organisation à concevoir et à mettre en œuvre des programmes complets de gestion des incidents. Mais il y a toujours place à l'amélioration.
Voici quelques conseils d’Eskenzi :
⦁ Mettre en place un plan de communication de crise : il doit inclure les coordonnées des principales parties prenantes et ce qu'elles superviseront, des conseils pour les employés et des plans de surveillance des réseaux sociaux, des médias et des clients.
⦁ Réaliser des simulations de crise avec un tiers : il fournira des commentaires et aidera à anticiper les problèmes
⦁ Évitez d'accuser les victimes : après une violation, vous devez plutôt examiner les pratiques de sécurité et mettre en œuvre des mesures pour éviter qu'un incident similaire ne se reproduise, puis le communiquer.
⦁ Assurez-vous que toutes les communications destinées au public sont factuelles, informatives et opportunes : évitez les spéculations, décrivez les mesures prises pour éviter qu'une violation ne se reproduise et fournissez des conseils pratiques sur la manière dont les parties concernées peuvent se protéger.
⦁ N'hésitez pas à vous excuser : des excuses sincères et une action significative peuvent démontrer de l'empathie, restaurer la confiance et améliorer la perception de la marque.
⦁ Veiller à ce que les services de communication soient responsables de toutes les communications externes : la contribution juridique doit se limiter à l'examen de leurs résultats, et non l'inverse.
