Szerző: Hlács Ferenc

2018. június 6. 12:04

92 millió MyHeritage felhasználó adatai szivárogtak ki

Jelszó-hashek és email címek kerültek illetéktelen kezekbe, a fizetési adatok és a szolgáltatásban tárolt családfa-információk biztonságban vannak.

Tekintélyes adatlopásnak esett áldozatul a MyHeritage online családfakutató-szolgáltatás felhasználói bázisa: egy az oldal által nem megnevezett biztonsági szakértő egy több tízmillió MyHeritage felhasználó adatait tartalmazó fájlra bukkant egy külső szerveren. A kutató az esetet jelezte a cég biztonsági csapata felé, amely a fájl átvizsgálása után maga is megerősítette, hogy a vállalat felhasználóihoz tartozó információkról van szó.

Az adatszivárgásban összesen több mint 92 millió felhasználó érintett, akik tavaly október 26-ig bezárólag iratkoztak fel a szolgáltatásra. Szerencsére fizetési adatok nem kerültek illetéktelen kezekbe, ezeket a MyHeritage egyáltalán nem is tárolja, helyette külső szolgáltatókra támaszkodik, mint például a PayPal. A szóban forgó fájl a felhasználók email címeit és hash-elt jelszavait tartalmazta - arra a vállalat nem tért ki, a jelszavak titkosításához pontosan milyen algoritmust használ.

myherit

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Kapcsolódó blogposztjában a cég azt is hangsúlyozza, hogy a felhasználói fiókokhoz tartozó családfa- és DNS-adatok (a DNS jelen esetben a dezoxiribonukleinsavra utal) sem kerültek veszélybe, azokat a vállalat teljesen elkülönített rendszereken tárolja, ahol semmilyen jel nem utal illetéktelen behatolásra. Az esetet bejelentő szakértő szerint semmilyen más, a szolgáltatás felhasználóira vonatkozó adat nem volt a fentebb említett szerveren, továbbá a MyHeritage biztonsági csapata egyelőre arra sem talált bizonyítékot, hogy a megszerzett adatokkal az elkövetők visszaéltek volna. Az érintett fiókoknál a cég szerint nem történt illetéktelen hozzáférés tavaly október vége, azaz az adatlopás feltételezett időpontja óta.

Miután az információk kiszivárgásáról értesült, a vállalat rögtön elkezdte vizsgálni az esetet, továbbá egy független biztonsági céggel is felvette a kapcsolatot, egyrészt az ügy további részleteinek kiderítésére, másrészt pedig hogy ajánlásokat kérjen a hasonló esetek későbbi megelőzésére. A cég mindezek mellett a GDPR követelményeihez igazodva a megfelelő hatóságok felé is jelezte a törtnéteket. A felhasználók részletesebb tájékoztatására a cég egy éjjel-nappal, telefonon és emailben is elérhető ügyfélszolgálati csapatot is kijelölt.

Bár az adatlopás során tényleges jelszavak nem szivárogtak ki, csak azok hashelt verziói, a cég minden felhasználójának azt javasolja, biztos ami biztos változtassa meg a jelszavát, lehetőleg egy egyedülálló jelszóra, amelyet más online szolgáltatásoknál nem használ - illetve a kötelező mantra sem maradhat el, aki eddig nem tette, használjon jelszókezelőt. A vállalat egyébként a védvonalak megerősítése végett hamarosan a kétfaktoros beléptetést is lehetővé teszi, erről külön értesíti majd a felhasználókat.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról