Το MyHeritage ενημερώνεται για το περιστατικό κυβερνοασφάλειας που συνέβη τον Οκτώβριο του 2017
Η MyHeritage, η εταιρεία που εστιάζει στις δοκιμές DNA και την οικογενειακή καταγωγή, ανακοίνωσε πρόσφατα μια σοβαρή διαρροή στην οποία εμπλέκονται 92,3 εκατομμύρια χρήστες της. Η εταιρεία ενημερώθηκε για την παραβίαση ασφαλείας στις 4 Ιουνίου, αφού ενημερώθηκε από έναν ανώνυμο ερευνητή ασφαλείας για ένα απροστάτευτο αρχείο που ονομάζεται myheritage σε έναν ιδιωτικό διακομιστή.
Σύμφωνα με την ανάρτηση στο blog MyHeritage,[1] η διαρροή επηρεάζει χρήστες που εγγράφηκαν για την υπηρεσία τους πριν από τις 26 Οκτωβρίου 2017, που είναι η ημερομηνία παραβίασης δεδομένων. Μόλις ο ερευνητής ασφαλείας επικοινώνησε με την εταιρεία, ξεκίνησαν την έρευνα που επιβεβαίωσε ότι έως και 92.283.889 διευθύνσεις ηλεκτρονικού ταχυδρομείου και κατακερματισμένοι κωδικοί πρόσβασης έχουν συλλεχθεί από ένα νόμιμο βάση δεδομένων.
Η εταιρεία είναι πεπεισμένη ότι η παραβίαση δεδομένων επηρέασε μόνο τα email των χρηστών
Όπως τόνισε ο ερευνητής, δεν βρέθηκαν άλλες βάσεις δεδομένων σε ιδιωτικό διακομιστή και το αρχείο δεδομένων που ανακαλύφθηκε εκεί δεν έχει χρησιμοποιηθεί ποτέ για οποιονδήποτε σκοπό από χάκερ. Ευτυχώς, το MyHeritage δεν συλλέγει τους κωδικούς πρόσβασης των πελατών. Αντίθετα, αποθηκεύουν μονόδρομο κατακερματισμό που διαφέρει για κάθε χρήστη. Έτσι, η εταιρεία είναι σίγουρη ότι οι κωδικοί πρόσβασης των χρηστών είναι ασφαλείς και ότι μόνο οι διευθύνσεις ηλεκτρονικού ταχυδρομείου διέρρευσαν.
Ο Omer Deutsch, Chief Information Security Officer της MyHeritage, πρόσθεσε επίσης ότι η εταιρεία δεν μπορεί να δει σημάδια ότι περισσότεροι λογαριασμοί τίθενται σε κίνδυνο μετά τον Οκτώβριο του 2017:
Από τις 26 Οκτωβρίου 2017 (ημερομηνία της παραβίασης) και σήμερα δεν έχουμε δει καμία δραστηριότητα που να υποδεικνύει ότι οποιοσδήποτε λογαριασμός MyHeritage είχε παραβιαστεί.
Ευτυχώς, οι πληροφορίες λογαριασμού των επισκεπτών δεν αποθηκεύονται από την εταιρεία. Το MyHeritage βασίζεται σε αξιόπιστους παρόχους χρέωσης, συμπεριλαμβανομένων των PayPal και BlueSnap. Επιπρόσθετα, όλες οι άλλες ευαίσθητες πληροφορίες που αποθηκεύονται από την εταιρεία (όπως δεδομένα DNA ή ιστορικό οικογενειακού δέντρου) αποθηκεύονται σε ξεχωριστή βάση δεδομένων που διαθέτει ένα επιπλέον επίπεδο προστασίας από τις εισβολές.
Τα επιπλέον μέτρα προφύλαξης που έλαβε το MyHeritage
Σύμφωνα με την Deutsch, μόλις ενημερώθηκαν για τη διαρροή, ξεκίνησε άμεση έρευνα από την Ομάδα Αντιμετώπισης Συμβάντων Ασφάλειας Πληροφοριών. Η εταιρεία προσέλαβε μια επαγγελματική εταιρεία κυβερνοασφάλειας για να αναλάβει έρευνα για να αποκτήσει περισσότερες λεπτομέρειες σχετικά με το περιστατικό και να λάβετε πρόσθετα προληπτικά μέτρα για την προστασία των προσωπικών δεδομένων χρήστη στο μελλοντικός.
Επιπλέον, το MyHeritage υποσχέθηκε να ξεκινήσει τον έλεγχο ταυτότητας δύο παραγόντων[2] υπηρεσία που θα μπορούσε να βοηθήσει τους χρήστες να προστατεύσουν ακόμη περισσότερο τους λογαριασμούς τους. Επιπλέον, η Deutsch προέτρεψε όλους τους πελάτες να αλλάξουν τους κωδικούς πρόσβασης για μέγιστη ασφάλεια. Αυτός πρόσθεσε:
Προς το παρόν, δεν υπάρχουν άλλες ενέργειες που πρέπει να κάνουν οι χρήστες του MyHeritage ως αποτέλεσμα αυτού του συμβάντος. Ωστόσο, συνιστούμε πάντα να αφιερώνετε χρόνο για να αξιολογήσετε τις πρακτικές ασφαλείας σας. Παρακαλούμε, αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης για πολλές υπηρεσίες ή ιστότοπους. Είναι καλή πρακτική να χρησιμοποιείτε ισχυρότερους κωδικούς πρόσβασης και να τους αλλάζετε συχνά.
Η παραβίαση δεδομένων εξακολουθεί να θεωρείται σοβαρή ανησυχία
Πολλοί ειδικοί σε θέματα ασφάλειας ανησυχούν[3] σχετικά με τις πρακτικές ασφάλειας της πληροφορικής που εφαρμόζουν διάφορες εταιρείες και οργανισμοί. Οι εργαζόμενοι και οι εργοδότες θα πρέπει να έχουν μεγαλύτερη επίγνωση των κινδύνων για την ασφάλεια και η κατάλληλη εκπαίδευση στην ασφάλεια στον κυβερνοχώρο θα πρέπει να είναι μία από τις κορυφαίες προτεραιότητες αυτή τη στιγμή.
Ενώ διαρροή δεδομένων Equifax[4] εκτέθηκαν ιδιωτικές πληροφορίες 147,9 εκατομμυρίων χρηστών (η οποία θεωρείται η μεγαλύτερη διαρροή μέχρι σήμερα), υπήρξαν πολλά άλλα περιστατικά[5] τα προηγούμενα χρόνια. Παρόλο που η παραβίαση δεδομένων MyHeritage, κατά πάσα πιθανότητα, συνίστατο μόνο στα email των χρηστών, εξακολουθούν να είναι ιδιωτικές πληροφορίες που πρέπει να φυλάσσονται μακριά από απατεώνες.