Szerző: Hlács Ferenc

2018. június 6. 12:04

92 millió MyHeritage felhasználó adatai szivárogtak ki

Jelszó-hashek és email címek kerültek illetéktelen kezekbe, a fizetési adatok és a szolgáltatásban tárolt családfa-információk biztonságban vannak.

Tekintélyes adatlopásnak esett áldozatul a MyHeritage online családfakutató-szolgáltatás felhasználói bázisa: egy az oldal által nem megnevezett biztonsági szakértő egy több tízmillió MyHeritage felhasználó adatait tartalmazó fájlra bukkant egy külső szerveren. A kutató az esetet jelezte a cég biztonsági csapata felé, amely a fájl átvizsgálása után maga is megerősítette, hogy a vállalat felhasználóihoz tartozó információkról van szó.

Az adatszivárgásban összesen több mint 92 millió felhasználó érintett, akik tavaly október 26-ig bezárólag iratkoztak fel a szolgáltatásra. Szerencsére fizetési adatok nem kerültek illetéktelen kezekbe, ezeket a MyHeritage egyáltalán nem is tárolja, helyette külső szolgáltatókra támaszkodik, mint például a PayPal. A szóban forgó fájl a felhasználók email címeit és hash-elt jelszavait tartalmazta - arra a vállalat nem tért ki, a jelszavak titkosításához pontosan milyen algoritmust használ.

myherit

Alapozó Go fejlesztői képzést indítunk (x)

November 9-én 10 alkalmas, 30 órás, online formátumú Go képzést indít a HWSW.

Alapozó Go fejlesztői képzést indítunk (x) November 9-én 10 alkalmas, 30 órás, online formátumú Go képzést indít a HWSW.

Kapcsolódó blogposztjában a cég azt is hangsúlyozza, hogy a felhasználói fiókokhoz tartozó családfa- és DNS-adatok (a DNS jelen esetben a dezoxiribonukleinsavra utal) sem kerültek veszélybe, azokat a vállalat teljesen elkülönített rendszereken tárolja, ahol semmilyen jel nem utal illetéktelen behatolásra. Az esetet bejelentő szakértő szerint semmilyen más, a szolgáltatás felhasználóira vonatkozó adat nem volt a fentebb említett szerveren, továbbá a MyHeritage biztonsági csapata egyelőre arra sem talált bizonyítékot, hogy a megszerzett adatokkal az elkövetők visszaéltek volna. Az érintett fiókoknál a cég szerint nem történt illetéktelen hozzáférés tavaly október vége, azaz az adatlopás feltételezett időpontja óta.

Miután az információk kiszivárgásáról értesült, a vállalat rögtön elkezdte vizsgálni az esetet, továbbá egy független biztonsági céggel is felvette a kapcsolatot, egyrészt az ügy további részleteinek kiderítésére, másrészt pedig hogy ajánlásokat kérjen a hasonló esetek későbbi megelőzésére. A cég mindezek mellett a GDPR követelményeihez igazodva a megfelelő hatóságok felé is jelezte a törtnéteket. A felhasználók részletesebb tájékoztatására a cég egy éjjel-nappal, telefonon és emailben is elérhető ügyfélszolgálati csapatot is kijelölt.

Bár az adatlopás során tényleges jelszavak nem szivárogtak ki, csak azok hashelt verziói, a cég minden felhasználójának azt javasolja, biztos ami biztos változtassa meg a jelszavát, lehetőleg egy egyedülálló jelszóra, amelyet más online szolgáltatásoknál nem használ - illetve a kötelező mantra sem maradhat el, aki eddig nem tette, használjon jelszókezelőt. A vállalat egyébként a védvonalak megerősítése végett hamarosan a kétfaktoros beléptetést is lehetővé teszi, erről külön értesíti majd a felhasználókat.

A HackerRank 2020-as, 116.000 fejlesztő válaszaiból készült kutatása szerint a legtöbbjük a Go-t szeretné megtanulni következőleg, amely eredménynek az okait most ebben a cikkben szedtük össze.

a címlapról