Aplikacja do testowania DNA MyHeritage przyznała, że padła ofiarą cyberataku. Istnieje domniemanie, że badacz bezpieczeństwa znalazł na prywatnym serwerze bazę danych z ponad 92 milionami adresów email i hasłami, które były zhashowane. Wszystko to skradzione przez tajemniczego hakera.

Kiedy MyHeritage otrzymała wieści o wycieku, natychmiast zebrała Zespół ds. Cyberbezpieczeństwa, który miał wykazać i potwierdzić prawdziwość tej informacji. Badacz, który znalazł dane, nie wskazał w jaki sposób znalazł się w ich posiadaniu. MyHeritage obecnie prowadzi dochodzenie, aby dowiedzieć się więcej o okolicznościach wycieku.

Wewnętrzne śledztwo ujawniło, że jedynie konta założone po 26 września zostały naruszone i hakerzy nie użyli wykradzionych informacji, aby przejąć resztę rekordów. MyHeritage zapisywała każde hasło z oddzielnym hashem, więc hakerzy nie będą mogli zrobić zbyt wiele z wykradzionymi danymi, ponieważ nie ukradli właściwych haseł. Mimo wszystko firma zarządziła reset dla wszystkich kont w aplikacji.

Duże międzynarodowe firmy są już świadome swoich odpowiedzialności związanej z gromadzeniem tego typu informacji”, komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken, „Ten przypadek pokazuje jak dużo szczęścia, ale też zimnej krwi jest potrzebne, aby w odpowiedni sposób przechowywać i dbać o dane tylu użytkowników.” – dodaje.

Pomimo tego, że wyciekły nie hasła, ale ich zhashowane wersje, zachęciliśmy naszych użytkowników do zmiany haseł dostępu i wielu z nich tak właśnie zrobiło.”, poinformowała firma MyHeritage, „Jednocześnie, aby polepszyć bezpieczeństwo naszych klientów, doprowadzimy do sytuacji, w której każde stare hasło ulegnie przedawnieniu. Proces ten powinien zająć kilka najbliższych dni”.

Systemy MyHeritage nie przechowują danych kart kredytowych, ponieważ korzystają z usługodawców zewnętrznych. Drzewa rodzinne i dane dot. DNA nie są naruszone dopóki, dopóty przetrzymywane są na odrębnych, uporządkowanych systemach.

„Wierzymy, że incydent jest ograniczony tylko do wycieku adresów email”, czytamy na blogu firmowym. „Inne rodzaje danych wrażliwych przetrzymywane są na oddzielnych systemach, dodatkowo zabezpieczone i odseparowane od tych, na których znajdują się emaile.

MyHeritage ogłosiło, że niezbędne będzie wdrożenie dwuetapowej weryfikacji w celu poprawienia poziomu bezpieczeństwa.

źródło: Bitdefender