MyHeritage udmelding om en cybersikkerhedshændelse
- Af Ilan


I går aftes, den 4. juni 2018 klokken ca. kl. 20.00, modtog MyHeritages overordnede informationssikkerhedschef en besked fra en sikkerhedsforsker, om at han havde fundet en fil med navnet myheritage, der indeholdt e-mail-adresser og hashede adgangskoder på en privat server som ikke tilhører MyHeritage. Vores informationssikkerhedsteam modtog filen fra sikkerhedsforskeren, gennemgik den, og bekræftede at dens indhold stammede fra MyHeritage og inkluderede alle e-mailadresser for brugere, der tilmeldte MyHeritage frem til 26. oktober 2017, samt deres hashede adgangskoder.
Straks efter modtagelsen af filen, analyserede MyHeritages informationssikkerhedsteam filen, og begyndte en undersøgelse for at finde ud af hvordan indholdet nåede frem til filen, og for at identificere enhver mulig udnyttelse af MyHeritage-systemet. Vi fastslog, at filen var legitim og inkluderede e-mailadresserne og hashede adgangskoder til 92.283.889 brugere, der havde tilmeldt sig MyHeritage til og med 26. oktober 2017, hvilket er datoen for overtrædelsen. MyHeritage lagrer ikke brugeres adgangskoder, men i stedet en envejs-kryptering for hver adgangskode, hvor hver enkelt nøgle adskiller sig for hver kunde. Dette betyder, at alle der får adgang til de hashede adgangskoderne, ikke har de egentlige adgangskoder.
Sikkerhedsforskeren rapporterede, at der ikke blev fundet andre data relateret til MyHeritage på den private server. Der er ikke blevet fundet noget bevis for, at dataene i filen nogensinde blev brugt af gerningsmændene. Siden 26. oktober 2017 (datoen for overtrædelsen) og indtil nu, har vi ikke set nogen aktivitet der tyder på at eventuelle MyHeritage-konti er blevet kompromitteret.
Vi mener at indtrængningen er begrænset til brugerens e-mail-adresser. Vi har ingen grund til at tro at andre MyHeritage-systemer blev kompromitteret. For eksempel er kreditkortoplysninger ikke gemt hos MyHeritage, men kun på betroede tredjeparts faktureringsudbydere (f.eks. BlueSnap og PayPal), der anvendes af MyHeritage. Andre typer af følsomme data, som slægtstræer og DNA-data, gemmes af MyHeritage på segregerede systemer, adskilt fra dem der gemmer e-mailadresserne, og de omfatter ekstra lag af sikkerhed. Vi har ingen grund til at tro at disse systemer er blevet kompromitteret.
Skridt vi har taget
Straks efter at have lært om hændelsen, etablerede vi et sikkerhedsteam som har til opgave at undersøge hændelsen. Vi tager også øjeblikkelige skridt til at engagere et ledende, uafhængigt cybersikkerhedsfirma som vil gennemføre omfattende vurderinger for at konkludere omfanget af indtrængningen, og og give anbefalinger om hvilke skridt der kan tages for at forhindre en sådan hændelse i fremtiden.
Vi tager de nødvendige skridt for at informere de relevante myndigheder, herunder GDPR.
Vi vil fremskynde vores arbejde med den kommende to-faktor godkendelsesfunktion, som vi snart vil gøre tilgængelig for alle MyHeritage-brugere. Dette vil gøre det muligt for de brugere som er interesserede, til at autentificere sig selv ved hjælp af en mobil enhed i tillæg til et kodeord, som gør deres MyHeritage-konti yderligere beskyttet mod uretmæssig adgang.
Vi har oprettet et 24/7 kundesupportteam for at hjælpe brugere der har bekymringer eller spørgsmål om hændelsen.
Hvad vores brugere skal gøre
MyHeritage-brugere der har spørgsmål eller bekymringer vedrørende denne hændelse, kan kontakte afdelingen af vores kundesupportsteam som tager sig af sikkerhed, via email på privacy@myheritage.com eller telefon via et gratis telefonnummer i USA +1 888 672 2875, der er tilgængeligt 24/7.
For alle registrerede brugere af MyHeritage, anbefaler vi at de, for at opnå maksimal sikkerhed, ændrer deres adgangskode hos MyHeritage. Proceduren for at gøre dette er beskrevet i denne MyHeritage FAQ-artikel. Når MyHeritage frigiver den kommende to-faktor godkendelsesfunktion, anbefaler vi alle vores brugere at udnytte den.
For øjeblikket er der ingen andre handlinger som MyHeritage-brugere skal tage som følge af denne hændelse. Vi anbefaler dog altid, at du tager dig tid til at evaluere dine sikkerhedspraksis. Undgå at bruge samme adgangskode til flere tjenester eller websteder. Det er også anbefalet at bruge stærkere adgangskoder og at ændre dem ofte.
Næste skridt
Som altid, er dit privatliv og sikkerhed for dine data vores højeste prioritet. Vi vurderer løbende vores procedurer og fremgangsmåder, og søger nye måder at forbedre vores tilgang til sikkerhed på. Vi forstår vigtigheden af vores rolle som vogter af dine oplysninger, og arbejder hver dag for at gøre os fortjent til din tillid.
Tak for din forståelse.
Kontakt
Omer Deutsch
Chief Information Security Officer, MyHeritage
Email: dpo@myheritage.com