MyHeritage zostaje poinformowany o incydencie związanym z cyberbezpieczeństwem, który miał miejsce w październiku 2017 r.
MyHeritage, firma skupiająca się na testowaniu DNA i pochodzeniu rodziny, ogłosiła niedawno poważny wyciek dotyczący 92,3 miliona jej użytkowników. Firma dowiedziała się o naruszeniu bezpieczeństwa 4 czerwca, po otrzymaniu informacji od anonimowego badacza bezpieczeństwa o niezabezpieczonym pliku o nazwie myheritage na prywatnym serwerze.
Zgodnie z wpisem na blogu MyHeritage,[1] wyciek dotyczy użytkowników, którzy zarejestrowali się w swojej usłudze przed 26 października 2017 r., czyli datą naruszenia bezpieczeństwa danych. Gdy tylko badacz bezpieczeństwa skontaktował się z firmą, rozpoczęli śledztwo, które potwierdziło że aż 92 283 889 adresów e-mail i zaszyfrowanych haseł zostało zebranych z legalnych Baza danych.
Firma jest przekonana, że naruszenie danych dotyczyło tylko e-maili użytkowników
Jak zauważył badacz, na prywatnym serwerze nie znaleziono żadnych innych baz danych, a odkryty tam plik danych nigdy nie był wykorzystywany przez hakerów w żadnym celu. Na szczęście MyHeritage nie gromadzi haseł klientów. Zamiast tego przechowują jednokierunkowy skrót, który różni się dla każdego użytkownika. Dzięki temu firma ma pewność, że hasła użytkowników są bezpieczne, a wyciekły tylko adresy e-mail.
Omer Deutsch, dyrektor ds. bezpieczeństwa informacji w MyHeritage, dodał również, że firma nie widzi żadnych oznak zagrożenia większej liczby kont po październiku 2017 r.:
Od 26 października 2017 r. (data naruszenia) i obecnie nie zaobserwowaliśmy żadnej aktywności wskazującej, że jakiekolwiek konta MyHeritage zostały naruszone.
Na szczęście informacje o kontach odwiedzających nie są przechowywane przez firmę. MyHeritage opiera się na zaufanych dostawcach rozliczeń, w tym PayPal i BlueSnap. Ponadto wszystkie inne poufne informacje przechowywane przez firmę (takie jak dane DNA lub historia drzewa genealogicznego) są przechowywane w oddzielnej bazie danych, która ma dodatkową warstwę ochrony przed włamaniami.
Dodatkowe środki ostrożności podjęte przez MyHeritage
Według Deutscha, gdy zostali poinformowani o wycieku, zespół reagowania na incydenty bezpieczeństwa informacji wszczął natychmiastowe śledztwo. Firma zatrudniła profesjonalną firmę zajmującą się cyberbezpieczeństwem, która zajmie się dochodzeniem w celu uzyskania dodatkowych informacji o incydencie i podjąć dodatkowe środki ostrożności w celu ochrony danych osobowych użytkownika w przyszły.
Ponadto MyHeritage obiecał uruchomić uwierzytelnianie dwuskładnikowe[2] usługa, która może pomóc użytkownikom jeszcze bardziej chronić ich konta. Dodatkowo Deutsch wezwał wszystkich klientów do zmiany haseł dla maksymalnego bezpieczeństwa. On dodał:
Na razie nie ma innych działań, które użytkownicy MyHeritage muszą podjąć w wyniku tego incydentu. Jednak zawsze zalecamy poświęcenie czasu na ocenę swoich praktyk bezpieczeństwa. Unikaj używania tego samego hasła do wielu usług lub stron internetowych. Dobrą praktyką jest używanie silniejszych haseł i częsta ich zmiana.
Nadal uważa się, że naruszenie danych jest poważnym problemem
Wielu ekspertów ds. bezpieczeństwa jest zaniepokojonych[3] o praktykach bezpieczeństwa technologii informatycznych podejmowanych przez różne firmy i organizacje. Pracownicy i pracodawcy powinni być bardziej świadomi zagrożeń związanych z bezpieczeństwem, a odpowiednie szkolenie w zakresie cyberbezpieczeństwa powinno być jednym z głównych priorytetów w obecnych czasach.
Podczas wycieku danych Equifax[4] ujawniły prywatne informacje 147,9 mln użytkowników (co jest uważane za największy dotychczasowy wyciek), doszło do kilku innych incydentów[5] w ciągu ostatnich kilku lat. Mimo że naruszenie danych MyHeritage najprawdopodobniej obejmowało tylko e-maile użytkowników, nadal są to prywatne informacje, które powinny być trzymane z dala od oszustów.