Cybersikkerhetshendelse: Oppdatering 5.-6. juni

I går rapporterte vi om en cybersikkerhetsendelse som berørte MyHeritage og e-post-adressene og hashete passord til 92,3 millioner MyHeritage brukere ble lekket til en privat og ekstern server.

Vårt spesielle informasjonssikkerhetsrespons-team forsker fremdeles på denne hendelsen og vi har fremdeles ikke en oppdatering angående kilden for lekkasjen. Vi har ikke oppdaget misbruk av noen MyHeritage-konto, eller bevis som tyder på at den lekkede informasjonen ble brukt av ondsinnede aktører.

Hendelsen ble meddelt oss av en sikkerhetsforsker den 4. juni 2018 klokka 19:00, norsk tid. Vi kalte sammen vårt team for å etterforske hendelsen og samlet nok detaljer til å kunne kunngjøre det offentlig. Dette gjorde vi innen åtte timer etter at vi fikk vite om hendelsen.

Fra det øyeblikket vi ble kjent med dette, har vi jobbet døgnet rundt og har tatt ekstra skritt for å hjelpe å sikre våre brukere. Vi ønsker å oppdatere om fremgangen med utviklingen vedrørende dette så langt, en dag etter vår opprinnelige rapport.

Selv om ingen passord ble lekket, bare hashete versjoner av disse, rådet vi våre brukere til å bytte passordene sine, og mange har allerede gjort det. Men for å maksimere våre brukeres sikkerhet, har vi startet en prosess som går ut på at vi fremskynder utløpsdatoen for ALLE MyHeritage brukerpassord. Denne prosessen vil finne sted over de neste få dagene. Den vil inkludere alle de 92,3 millioner berørte brukerkonti pluss alle de ytterlige fire millioner konti som har registrert seg til MyHeritage etter datoen for bruddet, den 26. oktober 2017. På dette tidspunkt, har vi allerede latt passordene til flere enn halvparten av brukerkontoene ved MyHeritage utløpe. Brukere med passord som har utløpt vil bli nødt til å velge et nytt passord og vil ikke kunne gå inn på sin konto og data på MyHeritage før de har fullført dette. Denne prosessen kan kun gjøres via en e-post som ble sent til deres registrerte e-post adresse. Dette vil gjøre det vanskeligere for enhver urettmessig person, selv en som kjenner til brukerens passord, å gå inn på kontoen. Vi planlegger å fullføre denne prosessen med å fremskynde utløpsdatoen for passord i løpet av noen få dager. Etter det, vil ingen av de tidligere passordene lenger kunne brukes for å få tilgang til konti og data på MyHeritage. Det er verdt å merke seg at andre nettsider og tjenester som eies og opereres av MyHeritage, slik som Geni.com og Legacy Family Tree, ikke har blitt berørt av hendelsen.

Som nevnt, fremskynder vi arbeidet med å legge til tofaktor-autentisering til MyHeritage og vil oppdatere når denne er oppe, da vi sterkt anbefaler våre brukere å benytte seg av den for å styrke sikkerheten så snart den er introdusert.

Brukere som har problemer med å bytte passord eller har andre spørsmål eller bekymringer bør ta kontakt med vårt sikkerhetskundestøtte-team via e-post på privacy@myheritage.com eller ved å ringe oss på (+47) 800 24 741.

Vi mener at inntrengningen er begrenset til e-post-adressene til våre brukere. Vi har ingen grunn til å tro at ytterligere MyHeritage-systemer har blitt kompromitterte. Kredittkort-informasjon er for eksempel ikke lagret på MyHeritage i det hele tatt, men kun hos pålitelige faktureringsleverandører som benyttes av MyHeritage. Andre strengt sensitive data, som slektstrær og DNA-data, blir lagret av MyHeritage på separate systemer, atskilt fra systemer som oppbevarer e-post-adresser. Førstnevnte type data inkluderer også flere sjikt med sikkerhet. Vi har ingen grunn til å tro at disse systemene har blitt kompromitterte.

Vi har informert myndighetene i henhold til GDPR.

Vi forbereder oss på å kunngjøre bruddet til brukerne, individuelt, via e-post, en prosess som vil ta litt tid på grunn av det høye antallet berørte brukere.

Det er viktig for oss atter en gang å understreke at ditt personvern og sikkerheten til dine data er, og vil alltid være, vår høyeste prioritet. Vi vil fortsette å holde deg informert og oppdatert vedrørende våre handlinger i de kommende dagene.

Takk for din forståelse!

MyHeritage-teamet

Kontakt
Omer Deutsch
Chief Information Security Officer, MyHeritage
E-post: dpo@myheritage.com