MyHeritage hackades 2017 – 92 miljoner uppgifter läckte ut

MyHeritage har bekräftat att tjänsten hackades i oktober 2017. Intrånget upptäcktes av en oberoende säkerhetsforskare som råkade snubbla över en stor fil med alla e-postadresser och hashade lösenord från konton registrerade fram till 26 oktober 2017.

  • Fler än 92 miljoner e-postadresser och hashade lösenord läckte i fil
  • Upptäcktes av oberoende säkerhetsforskare
  • MyHeritage arbetar med att öka säkerheten på sajten
  • Ingen DNA-data eller betalningsinfo har läckt enligt företaget

Säkerhetsforskaren skickade filen till MyHeritage som, efter att företagets Information Security Team validerat innehållet, bekräftade intrånget. Totalt kan fler än 92 miljoner personer omfattas av intrånget.

Tacksamt nog verkar det som att bara en begränsad mängd data läckt ut från varje konto på MyHeritage. All betalinformation finns på separata servrar och omfattas inte av hacket. Familjeträd och DNA-data lagras på ett helt separat nätverk som inte heller omfattas.

Det finns inga indikationer på att hackarna lyckades ta sig förbi de första, icke-kritiska systemen.

MyHeritage sparar inte användarnas lösenord, utan hashar av varje enskilt lösenord, och varje hashnyckel skiljer sig från varje kund. Det betyder att den som får åtkomst till de hashade lösenorden inte ser de faktiska lösenorden.

Förutom att undersöka händelsen internt har MyHeritage tagit hjälp av ett oberoende säkerhetsföretag för att identifiera läckor och säkra sina system.

Stöd för tvåstegsverifiering (2FA) vid inloggning kommer att införas snabbare än planerat, dock finns ingen tidsram för när implementationen sker. Tvåstegsverifiering använder exempelvis en smartphone för att bekräfta användarens identitet med fingeravtrycksläsare, en speciell app, SMS eller ansiktsigenkänning. För att nämna några saker.

Alla de 92 283 898 användarna som omfattas av läckan rekommenderas uppdatera sina lösenord snarast möjligt.

MyHeritage arbetar nu för att kontakta alla myndigheter och instanser enligt reglerna för nyligen införda General Data Protection Regulation (GDPR). MyHeritage har bara 72 timmar på sig att rapportera intrånget, annars kan det israel-baserade företaget riskera höga bötesbelopp.

Som vanligt är din integritet och säkerheten kring datan vår högsta prioritet. Vi arbetar kontinuerligt med att utvärdera våra procedurer och taktiker, och söker nya sätt att förbättra säkerheten. Vi förstår hur viktig vår roll som ansvariga för er information och arbetar dagligen för att behålla ert förtroende.

MyHeritage hanterar minst sagt känslig data eftersom företaget har DNA om miljontals människor världen över. Information som kan missbrukas om datan skulle säljas eller på annat vis läcka ut.

Nu återstår att se hur företaget planerar att återfå sina kunders och användares förtroende, samt vilka säkerhetsåtgärder de implementerar. Vem vill skicka in sin spårbara DNA till ett företag som inte har koll på säkerheten?

Källa MyHeritage
Via The Verge