MyHeritage je obveščen o incidentu kibernetske varnosti, ki se je zgodil oktobra 2017
MyHeritage, podjetje, ki se osredotoča na testiranje DNK in družinske prednike, je pred kratkim objavilo resno uhajanje podatkov, ki vključuje 92,3 milijona njegovih uporabnikov. Podjetje se je za kršitev varnosti seznanilo 4. junija, potem ko ga je anonimni varnostni raziskovalec obvestil o nezaščiteni datoteki, imenovani myheritage, na zasebnem strežniku.
Glede na objavo v blogu MyHeritage,[1] puščanje vpliva na uporabnike, ki so se za njihovo storitev registrirali pred 26. oktobrom 2017, to je datum kršitve podatkov. Takoj ko je varnostni raziskovalec kontaktiral podjetje, so začeli preiskavo, ki je potrdila da je bilo kar 92.283.889 e-poštnih naslovov in zgoščenih gesel zbranih iz zakonitih bazo podatkov.
Podjetje je prepričano, da je kršitev podatkov vplivala le na e-pošto uporabnikov
Kot je poudaril raziskovalec, na zasebnem strežniku niso našli nobene druge baze podatkov in tam odkrite podatkovne datoteke hekerji nikoli niso uporabili za noben namen. Na srečo MyHeritage ne zbira gesel strank. Namesto tega shranijo enosmerni hash, ki se razlikuje za vsakega uporabnika. Tako so v podjetju prepričani, da so gesla uporabnikov varna, razkrili pa so le e-poštni naslovi.
Omer Deutsch, direktor informacijske varnosti pri MyHeritage, je tudi dodal, da podjetje po oktobru 2017 ne vidi nobenih znakov ogroženosti več računov:
Od 26. oktobra 2017 (datum kršitve) in danes nismo opazili nobene dejavnosti, ki bi kazala, da je bil kateri koli račun MyHeritage ogrožen.
Na srečo podjetje ne hrani podatkov o računih obiskovalcev. MyHeritage se zanaša na zaupanja vredne ponudnike obračunavanja, vključno s PayPal in BlueSnap. Poleg tega so vse druge občutljive informacije, ki jih shrani podjetje (kot so podatki DNK ali zgodovina družinskega drevesa), shranjene v ločeni bazi podatkov, ki ima dodatno plast zaščite pred vdori.
Dodatni previdnostni ukrepi, ki jih izvaja MyHeritage
Kot poroča Deutsch, je ekipa za odzivanje na incidente informacijske varnosti sprožila takojšnjo preiskavo, ko so bili obveščeni o uhajanju. Podjetje je najelo profesionalno podjetje za kibernetsko varnost, ki je prevzelo preiskavo, da bi pridobilo več podrobnosti o dogodku in sprejme dodatne previdnostne ukrepe za zaščito osebnih podatkov uporabnikov v prihodnost.
Poleg tega je MyHeritage obljubil, da bo uvedel dvofaktorsko preverjanje pristnosti[2] storitev, ki bi uporabnikom lahko pomagala še dodatno zaščititi svoje račune. Poleg tega je Deutsch vse stranke pozval, naj zaradi največje varnosti spremenijo gesla. Dodal je:
Za zdaj ni drugih dejanj, ki bi jih morali uporabniki MyHeritage izvesti zaradi tega incidenta. Vendar pa vam vedno priporočamo, da si vzamete čas in ocenite svoje varnostne prakse. Izogibajte se uporabi istega gesla za več storitev ali spletnih mest. Dobra praksa je, da uporabljate močnejša gesla in jih pogosto spreminjate.
Še vedno velja, da je kršitev podatkov resna skrb
Številni varnostni strokovnjaki so zaskrbljeni[3] o varnostnih praksah informacijske tehnologije, ki jih izvajajo različna podjetja in organizacije. Zaposleni in delodajalci bi se morali bolj zavedati varnostnih tveganj, ustrezno usposabljanje na področju kibernetske varnosti pa bi morala biti ena izmed najpomembnejših prioritet v sedanjem času.
Medtem ko podatki Equifaxa puščajo[4] izpostavljeni zasebni podatki 147,9 milijona uporabnikov (kar velja za največje uhajanje doslej), je bilo še nekaj drugih incidentov[5] v zadnjih nekaj letih. Čeprav je kršitev podatkov MyHeritage najverjetneje obsegala le e-poštna sporočila uporabnikov, so to še vedno zasebni podatki, ki jih je treba hraniti stran od rok prevarantov.