MyHeritage is geïnformeerd over het cyberbeveiligingsincident dat plaatsvond in oktober 2017
MyHeritage, het bedrijf dat zich richt op DNA-testen en familie-afkomst, heeft onlangs een ernstige lekkage aangekondigd waarbij 92,3 miljoen gebruikers betrokken zijn. Het bedrijf werd op 4 juni op de hoogte van de inbreuk op de beveiliging, aNa te zijn geïnformeerd door een anonieme beveiligingsonderzoeker over een onbeschermd bestand met de naam myheritage op een privéserver.
Volgens de MyHeritage-blogpost,[1] het lek treft gebruikers die zich vóór 26 oktober 2017, de datum van het datalek, voor hun service hebben geregistreerd. Zodra de beveiligingsonderzoeker contact opnam met het bedrijf, begonnen ze het onderzoek dat bevestigde: dat maar liefst 92.283.889 e-mailadressen en gehashte wachtwoorden werden geoogst van een legitieme databank.
Het bedrijf is ervan overtuigd dat het datalek alleen de e-mails van gebruikers trof
Zoals de onderzoeker opmerkte, zijn er geen andere databases gevonden op een privéserver en is het daar ontdekte gegevensbestand nooit voor welk doel dan ook door hackers gebruikt. Gelukkig verzamelt MyHeritage geen wachtwoorden van klanten. In plaats daarvan slaan ze eenrichtings-hash op die voor elke gebruiker verschilt. Het bedrijf is er dus van overtuigd dat de wachtwoorden van gebruikers veilig zijn en dat alleen e-mailadressen zijn gelekt.
Omer Deutsch, Chief Information Security Officer van MyHeritage, voegde er ook aan toe dat het bedrijf na oktober 2017 geen tekenen ziet van meer accounts die in gevaar komen:
Sinds 26 oktober 2017 (de datum van de inbreuk) en nu hebben we geen enkele activiteit gezien die erop wijst dat MyHeritage-accounts zijn gehackt.
Gelukkig worden de accountgegevens van bezoekers niet door het bedrijf opgeslagen. MyHeritage vertrouwt op vertrouwde factureringsproviders, waaronder PayPal en BlueSnap. Bovendien wordt alle andere gevoelige informatie die door het bedrijf wordt opgeslagen (zoals DNA-gegevens of stamboomgeschiedenis) opgeslagen in een aparte database die een extra beschermingslaag heeft tegen hacks.
De extra voorzorgsmaatregelen van MyHeritage
Volgens Deutsch is er onmiddellijk een onderzoek gestart door het Information Security Incident Response Team nadat ze op de hoogte waren gebracht van het lek. Het bedrijf heeft een professioneel cyberbeveiligingsbedrijf ingehuurd om onderzoek te doen om meer details te verkrijgen over het incident en neem extra voorzorgsmaatregelen om persoonlijke gebruikersgegevens in de toekomst.
Bovendien beloofde MyHeritage om tweefactorauthenticatie te lanceren[2] service die gebruikers kan helpen hun accounts nog beter te beschermen. Bovendien drong Deutsch er bij alle klanten op aan om wachtwoorden te wijzigen voor maximale veiligheid. Hij voegde toe:
Voorlopig zijn er geen andere acties die MyHeritage-gebruikers moeten ondernemen als gevolg van dit incident. We raden u echter altijd aan de tijd te nemen om uw beveiligingspraktijken te evalueren. Vermijd het gebruik van hetzelfde wachtwoord voor meerdere diensten of websites. Het is een goede gewoonte om sterkere wachtwoorden te gebruiken en deze vaak te wijzigen.
Datalek wordt nog steeds als een ernstig probleem beschouwd
Veel beveiligingsexperts maken zich zorgen[3] over de beveiligingspraktijken op het gebied van informatietechnologie die door verschillende bedrijven en organisaties worden uitgevoerd. Werknemers en werkgevers zouden zich meer bewust moeten zijn van veiligheidsrisico's, en een goede opleiding in cybersecurity zou in de huidige tijd een van de topprioriteiten moeten zijn.
Terwijl Equifax datalek[4] blootgestelde privé-informatie van 147,9 miljoen gebruikers (wat wordt beschouwd als het grootste lek tot nu toe), waren er verschillende andere incidenten[5] in de laatste paar jaren. Ook al bestond de MyHeritage-gegevensinbreuk hoogstwaarschijnlijk alleen uit e-mails van gebruikers, het is nog steeds privé-informatie die uit de handen van criminelen moet worden gehouden.