MyHeritage’i teavitatakse 2017. aasta oktoobris aset leidnud küberjulgeolekuintsidendist
DNA-testidele ja perekonna esivanematele keskenduv ettevõte MyHeritage teatas hiljuti tõsisest lekkest, mis hõlmab 92,3 miljonit selle kasutajat. Ettevõte sai turvarikkumisest teada 4. juunil, pärast seda, kui anonüümne turvateadlane teavitas teda privaatses serveris olevast kaitsmata failist nimega myheritage.
MyHeritage'i ajaveebipostituse kohaselt[1] leke mõjutab kasutajaid, kes registreerusid oma teenuse kasutajaks enne 26. oktoobrit 2017, mis on andmetega seotud rikkumise kuupäev. Niipea, kui turvateadlane ettevõttega ühendust võttis, alustasid nad uurimist, mis kinnitas et tervelt 92 283 889 e-posti aadressi ja räsiparooli koguti seaduslikult andmebaasi.
Ettevõte on kindel, et andmetega seotud rikkumine mõjutas ainult kasutajate e-kirju
Nagu uurija märkis, ei leitud privaatserverist muid andmebaase ning sealt avastatud andmefaili pole häkkerid kunagi mingil eesmärgil kasutanud. Õnneks ei kogu MyHeritage klientide paroole. Selle asemel salvestavad nad ühesuunalist räsi, mis on iga kasutaja jaoks erinev. Seega on ettevõte kindel, et kasutajate paroolid on turvalised ning lekkisid vaid e-posti aadressid.
MyHeritage'i infoturbe juht Omer Deutsch lisas samuti, et ettevõte ei näe märke selle kohta, et pärast 2017. aasta oktoobrit oleks rohkem kontosid ohus:
Alates 26. oktoobrist 2017 (rikkumise kuupäev) ja praeguseni pole me näinud ühtegi tegevust, mis viitaks MyHeritage'i kontode ohustamisele.
Õnneks külastajate kontoinfot ettevõte ei säilita. MyHeritage tugineb usaldusväärsetele arveldusteenuste pakkujatele, sealhulgas PayPalile ja BlueSnapile. Lisaks salvestatakse kogu muu ettevõtte talletatud tundlik teave (nt DNA andmed või sugupuu ajalugu) eraldi andmebaasis, millel on täiendav kaitsekiht häkkimise eest.
MyHeritage'i täiendavad ettevaatusabinõud
Deutschi sõnul alustas teabeturbe intsidentide reageerimise meeskond kohese uurimise pärast lekkest teavitamist. Ettevõte palkas professionaalse küberjulgeolekuettevõtte, et asuda uurima, et saada rohkem üksikasju intsidendi kohta ja rakendage täiendavaid ettevaatusabinõusid, et kaitsta kasutaja isikuandmeid tulevik.
Lisaks lubas MyHeritage käivitada kahefaktorilise autentimise[2] teenus, mis aitab kasutajatel oma kontosid veelgi paremini kaitsta. Lisaks kutsus Deutsch kõiki kliente üles paroole maksimaalse ohutuse tagamiseks muutma. Ta lisas:
Praegu ei pea MyHeritage'i kasutajad selle juhtumi tõttu tegema muid toiminguid. Siiski soovitame alati võtta aega oma turvatavade hindamiseks. Palun vältige sama parooli kasutamist mitme teenuse või veebisaidi jaoks. Hea tava on kasutada tugevamaid paroole ja neid sageli vahetada.
Arvatakse, et andmete rikkumine on endiselt tõsine probleem
Paljud turvaeksperdid on mures[3] erinevate ettevõtete ja organisatsioonide infotehnoloogiliste turvatavade kohta. Töötajad ja tööandjad peaksid olema turvariskidest teadlikumad ning korralik küberjulgeolekualane koolitus peaks olema praeguse aja üks peamisi prioriteete.
Kuigi Equifaxi andmed lekivad[4] paljastas 147,9 miljoni kasutaja privaatset teavet (seda peetakse seni suurimaks lekkeks), oli mitmeid muid intsidente[5] viimastel aastatel. Kuigi MyHeritage'i andmete rikkumine koosnes suure tõenäosusega ainult kasutajate meilidest, on see siiski privaatne teave, mida tuleks kelmide käest eemal hoida.