La faille de sécurité, qui s'est produite en octobre dernier, a touché plus de 6,9 millions de clients et a permis de divulguer des informations personnelles telles que leur localisation, leur nom et leur date de naissance, ainsi que des informations sur leur arbre généalogique. Ces données ont été partagées sur BreachForums, un forum en ligne utilisé par les cybercriminels.
Selon les documents judiciaires, la fuite de données a été révélée le 6 octobre après qu'un pirate informatique utilisant le pseudonyme « Golem », en référence au défenseur mythique juif fait d'argile, a publié un lien vers une base de données intitulée « Données ADN ashkénazes de célébrités ». Selon la plainte, le pirate a qualifié cette liste de « données les plus précieuses que vous puissiez voir », même si la plupart des noms n'étaient pas célèbres.
Au total, 999 998 personnes d’origine ashkénaze étaient inscrites sur la liste, qui contenait également les données de 100 000 autres personnes d’origine chinoise. « Golem » prétendait également posséder les données de 350 000 utilisateurs d’origine chinoise et proposait de vendre les données des deux ensembles d’informations contre rémunération.
Selon la plainte, 23andMe n'a pas révélé l'étendue complète de la violation à ses clients avant décembre, lorsque la société a déclaré que les pirates avaient pu accéder au grand nombre de comptes en piratant initialement un plus petit nombre de comptes, puis en accédant aux informations d'autres comptes via les fonctionnalités « Arbre généalogique » et « Parents ADN » du site.
Les plaignants ont allégué dans des documents judiciaires qu'en plus du vol de leurs données, 23andMe avait menti sur le niveau de sécurité des données de ses utilisateurs. Ils ont affirmé que les données « sont désormais entre les mains de cybercriminels et peuvent être facilement téléchargées par toute personne ayant accès au forum de piratage ».
Dans une déclaration à l'Agence télégraphique juive, 23andMe a déclaré : « Nous continuons de croire que cet accord est dans le meilleur intérêt des clients de 23andMe, et nous sommes impatients de finaliser l'accord. »