92 millió MyHeritage felhasználó adatai szivárogtak ki
Jelszó-hashek és email címek kerültek illetéktelen kezekbe, a fizetési adatok és a szolgáltatásban tárolt családfa-információk biztonságban vannak.
Tekintélyes adatlopásnak esett áldozatul a MyHeritage online családfakutató-szolgáltatás felhasználói bázisa: egy az oldal által nem megnevezett biztonsági szakértő egy több tízmillió MyHeritage felhasználó adatait tartalmazó fájlra bukkant egy külső szerveren. A kutató az esetet jelezte a cég biztonsági csapata felé, amely a fájl átvizsgálása után maga is megerősítette, hogy a vállalat felhasználóihoz tartozó információkról van szó.
Az adatszivárgásban összesen több mint 92 millió felhasználó érintett, akik tavaly október 26-ig bezárólag iratkoztak fel a szolgáltatásra. Szerencsére fizetési adatok nem kerültek illetéktelen kezekbe, ezeket a MyHeritage egyáltalán nem is tárolja, helyette külső szolgáltatókra támaszkodik, mint például a PayPal. A szóban forgó fájl a felhasználók email címeit és hash-elt jelszavait tartalmazta - arra a vállalat nem tért ki, a jelszavak titkosításához pontosan milyen algoritmust használ.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Kapcsolódó blogposztjában a cég azt is hangsúlyozza, hogy a felhasználói fiókokhoz tartozó családfa- és DNS-adatok (a DNS jelen esetben a dezoxiribonukleinsavra utal) sem kerültek veszélybe, azokat a vállalat teljesen elkülönített rendszereken tárolja, ahol semmilyen jel nem utal illetéktelen behatolásra. Az esetet bejelentő szakértő szerint semmilyen más, a szolgáltatás felhasználóira vonatkozó adat nem volt a fentebb említett szerveren, továbbá a MyHeritage biztonsági csapata egyelőre arra sem talált bizonyítékot, hogy a megszerzett adatokkal az elkövetők visszaéltek volna. Az érintett fiókoknál a cég szerint nem történt illetéktelen hozzáférés tavaly október vége, azaz az adatlopás feltételezett időpontja óta.
Miután az információk kiszivárgásáról értesült, a vállalat rögtön elkezdte vizsgálni az esetet, továbbá egy független biztonsági céggel is felvette a kapcsolatot, egyrészt az ügy további részleteinek kiderítésére, másrészt pedig hogy ajánlásokat kérjen a hasonló esetek későbbi megelőzésére. A cég mindezek mellett a GDPR követelményeihez igazodva a megfelelő hatóságok felé is jelezte a törtnéteket. A felhasználók részletesebb tájékoztatására a cég egy éjjel-nappal, telefonon és emailben is elérhető ügyfélszolgálati csapatot is kijelölt.
Bár az adatlopás során tényleges jelszavak nem szivárogtak ki, csak azok hashelt verziói, a cég minden felhasználójának azt javasolja, biztos ami biztos változtassa meg a jelszavát, lehetőleg egy egyedülálló jelszóra, amelyet más online szolgáltatásoknál nem használ - illetve a kötelező mantra sem maradhat el, aki eddig nem tette, használjon jelszókezelőt. A vállalat egyébként a védvonalak megerősítése végett hamarosan a kétfaktoros beléptetést is lehetővé teszi, erről külön értesíti majd a felhasználókat.