MyHeritage viene informata dell'incidente di sicurezza informatica verificatosi nell'ottobre 2017
MyHeritage, la società che si occupa di test del DNA e discendenza familiare, ha recentemente annunciato una grave fuga di notizie che ha coinvolto 92,3 milioni dei suoi utenti. La società è venuta a conoscenza della violazione della sicurezza il 4 giugno, dopo essere stata informata da un ricercatore di sicurezza anonimo su un file non protetto chiamato myheritage su un server privato.
Secondo il post sul blog di MyHeritage,[1] la perdita colpisce gli utenti che si sono registrati al loro servizio prima del 26 ottobre 2017, che è la data della violazione dei dati. Non appena il ricercatore di sicurezza ha contattato l'azienda, hanno iniziato le indagini che hanno confermato che fino a 92.283.889 indirizzi e-mail e password con hash sono stati raccolti da un legittimo Banca dati.
L'azienda è sicura che la violazione dei dati abbia interessato solo le e-mail degli utenti
Come ha sottolineato il ricercatore, non sono stati trovati altri database su un server privato e il file di dati scoperto non è mai stato utilizzato per nessuno scopo dagli hacker. Fortunatamente, MyHeritage non raccoglie le password dei clienti. Invece, memorizzano hash unidirezionale che differisce per ogni utente. Pertanto, l'azienda è sicura che le password degli utenti siano sicure e che solo gli indirizzi e-mail siano trapelati.
Omer Deutsch, Chief Information Security Officer di MyHeritage, ha anche aggiunto che la società non può vedere alcun segno di ulteriori account in pericolo dopo ottobre 2017:
Dal 26 ottobre 2017 (data della violazione) a oggi non abbiamo visto alcuna attività che indichi che gli account MyHeritage siano stati compromessi.
Fortunatamente, le informazioni sull'account dei visitatori non vengono archiviate dall'azienda. MyHeritage si affida a fornitori di fatturazione affidabili, inclusi PayPal e BlueSnap. Inoltre, tutte le altre informazioni sensibili archiviate dall'azienda (come i dati del DNA o la cronologia dell'albero genealogico) sono archiviate in un database separato che ha un ulteriore livello di protezione contro gli hack.
Le misure di precauzione aggiuntive adottate da MyHeritage
Secondo Deutsch, una volta informati della fuga di notizie, è stata avviata un'indagine immediata dall'Information Security Incident Response Team. La società ha assunto una società di sicurezza informatica professionale per svolgere indagini per acquisire maggiori dettagli sull'incidente e prendere ulteriori misure precauzionali al fine di proteggere i dati personali dell'utente nel futuro.
Inoltre, MyHeritage ha promesso di lanciare l'autenticazione a due fattori[2] servizio che potrebbe aiutare gli utenti a proteggere ulteriormente i propri account. Inoltre, Deutsch ha esortato tutti i clienti a modificare le password per la massima sicurezza. Ha aggiunto:
Per ora, non ci sono altre azioni che gli utenti di MyHeritage devono intraprendere a seguito di questo incidente. Tuttavia, ti consigliamo sempre di dedicare del tempo a valutare le tue pratiche di sicurezza. Per favore, evita di utilizzare la stessa password per più servizi o siti web. È buona norma utilizzare password più efficaci e cambiarle spesso.
La violazione dei dati è ancora ritenuta una seria preoccupazione
Molti esperti di sicurezza sono preoccupati[3] sulle pratiche di sicurezza delle tecnologie dell'informazione intraprese da varie aziende e organizzazioni. Dipendenti e datori di lavoro dovrebbero essere più consapevoli dei rischi per la sicurezza e una formazione adeguata in materia di sicurezza informatica dovrebbe essere una delle massime priorità al momento.
Mentre la perdita di dati di Equifax[4] informazioni private esposte di 147,9 milioni di utenti (che è considerata la più grande perdita fino ad oggi), ci sono stati molti altri incidenti[5] negli ultimi anni. Anche se la violazione dei dati di MyHeritage, molto probabilmente, consisteva solo nelle e-mail degli utenti, si tratta comunque di informazioni private che dovrebbero essere tenute lontane dalle mani dei criminali.