MyHeritage-erklæring om en cyber-sikkerhetshendelse
- Av Yael
I dag, mandag 4. juni om kvelden, fikk vi i MyHeritage beskjed fra en sikkerhetsekspert som hadde funnet en fil ved navn myheritage som inneholdt e-post-adresser og hashete passord på en privat og ekstern server. Vårt sikkerhetsteam gikk gjennom filen og bekreftet at innholdet kom fra MyHeritage. Den inkluderte e-post-adressene til alle brukere registrerte ved MyHeritage inntil 26. oktober 2017, og deres hashete passord.
Så snart filen ble mottatt, ble den analysert av vårt sikkerhetsteam. De undersøkte hvordan innholdet kunne ha blitt innhentet, og så samtidig etter potensielt misbruk av MyHeritage-systemet. Vi fant ut at filen var autentisk og inneholdt e-post-adressene og hashete passord til 92 283 889 av våre brukere som registrerte seg til og med 26. oktober 2017, datoen for hendelsen. MyHeritage lagrer ikke bruker-passord, men istedet en enveis-hash for hvert passord, hvor hashet varierer for hver kunde. Dette vil si at hvis noen får tilgang til hashete passord, har vedkommende ikke de virkelige passordene.
Den ansvarlige sikkerhetsforskeren rapporterte at ingen annen data assosiert med MyHeritage var å finne på den private serveren, og vi har ikke noen bevis for at dataen i filen noen gang har blitt brukt av gjerningsmennene. Siden oktober 2017 og til dags dato har vi ikke observert noen aktivitet som indikerer at noen av MyHeritage-profilene har blitt kompromittert.
Vi mener at inntrengningen er begrenset til e-post-adressene til våre brukere, og har ingen grunn til å tro at ytterlige MyHeritage-systemer har blitt kompromitterte. Kredittkort-informasjon er for eksempel ikke lagret på MyHeritage i det hele tatt, men kun hos pålitelige faktureringsleverandører (som for eksempel BlueSnap, PayPal) som benyttes av MyHeritage. Andre strengt sensitive data, som slektstrær og DNA-data, blir lagret av MyHeritage på separate systemer, atskildt fra systemer som oppbevarer e-post-adresser. Førstnevnte type data inkluderer også flere sjikt med sikkerhet. Vi har ingen grunn til å tro at disse systemenne har blitt kompromitterte.
Skritt vi har tatt
Så fort vi ble kjent med det inntrufne, etablerte vi et spesielt sikkerhetsteam som etterforsket hendelsen. Vi har også tatt umiddelbare skritt for å engasjere et ledende og uanvhengig cybersecurity-selskap, som foretar en altomfattende etterforskning for å bestemme omfanget av inntrengningen. De vil foreta en evaluering og komme med anbefalinger vedrørende forholdsregler som kan tas for å forhindre en slik hendelse i fremtiden.
Vi tar selvsagt skritt for å informere relevante myndigheter, også i henhold til GDPR.
Vi vil fremskynde arbeidet med den kommende tofaktor-autentiseringsfunksjonen, som vi snart vil gjøre tilgjengelig for alle våre MyHeritage-brukere. Noe som vil gjøre det mulig for brukerne å autentisere seg ved hjelp av en mobilenhet i tillegg til et passord. Dette vil gjøre ulovlig tilgang til deres MyHeritage-profiler enda vanskeligere.
Vi har satt opp et 24/7 sikkerhets kundestøtte-team for å hjelpe kunder som har bekymringer eller spørsmål om denne hendelsen.
Hva våre brukere bør gjøre
MyHeritage-brukere som har spørsmål eller bekymringer i forhold til denne hendelsen, kan kontakte vårt sikkerhets-kundeservice via e-post: privacy@myheritage.com eller ringe oss på (+47) 800 24 741.
For maksimal sikkerhet råder vi alle registrerte MyHeritage-brukere å bytte sine MyHeritage-passord. Hvordan dette gjøres, er forklart i MyHeritage sin FAQ artikkel. Så snart MyHeritage introduserer den kommende tofaktor-autentiseringsfunksjonen, råder vi alle våre brukere til å benytte seg av denne.
På dette tidspunkt trenger ikke MyHeritage-brukere å ta ytterligere tiltak som resultat av det inntrufne. Når det er sagt, anbefaler vi alltid at du tar deg tid til å vurdere dine sikkerhetstiltak. Vennligst unngå å benytte det samme passordet for flere tjenester eller nettsider. Det er god praksis å bruke sikrere passord og endre dem ofte.
Og i framtiden?
Som alltid er ditt personvern og sikkerheten til dine data vår høyeste prioritet. Vi vurderer kontinuerlig våre prosedyrer og retningslinjer og søker nye måter å forbedre vårt arbeid for sikkerhet. Vi er klare over hvor viktig vår rolle som voktere for din informasjon er og arbeider hver dag for å gjøre oss fortjente din tillit.
Takk for din forståelse!
Kontakt:
Omer Deutsch
Chief Information Security Officer, MyHeritage
E-post: dpo@myheritage.com