Cybersikkerhedshændelse: 5.-6. juni opdatering
- Af Ilan
I går rapporterede vi om en cybersikkerhedshændelse, der berørte MyHeritage, hvor e-mailadresserne og hashede adgangskoder til 92,3 millioner MyHeritage-brugere, blev lækket til en privat server der ikke tilhørte MyHeritage.
Vores Information Security Incident Response Team undersøger stadig hændelsen, og vi har endnu ikke en opdatering vedrørende kilden til databruddet. Vi har ikke stødt på misbrug af nogen konti på MyHeritage, eller bevis på at de lækkede oplysninger blev brugt af ondsindede aktører.
Hændelsen blev rapporteret til os af en sikkerhedsforsker den 4. juni 2018, klokken 13:00 EST, som er klokken 20:00 i vores hovedkvarter i Israel. Vi samlede vores folk til at undersøge hændelsen, samlede tilstrækkelige detaljer for at annoncere det offentligt, og gjorde dette inden for 8 timer efter at have lært om hændelsen.
Fra det øjeblik dette vi kendte til hændelsen, har vi bogstaveligt talt arbejdet døgnet rundt og taget yderligere skridt for at beskytte vores brugere, og vi ønsker at opdatere jer om vores fremskridt på dette område en dag efter vores oprindelige rapport.
Selvom der ikke er lækkede adgangskoder, men kun hashede versioner af adgangskoderne, opfordrede vi vores brugere til at ændre deres adgangskode, og mange har allerede gjort dette. For at maksimere sikkerheden for vores brugere, har vi startet processen med at lade ALLE vores brugeres adgangskoder på MyHeritage udløbe. Denne proces vil finde sted i løbet af de næste par dage. Det vil omfatte alle 92,3 millioner berørte brugerkonti plus alle 4 millioner konti der har tilmeldt sig MyHeritage efter databruddet den 26. oktober 2017. Indtil nu, har vi allerede ladet mere end halvdelen af brugeres adgangskoder på MyHeritage udløbe. Brugere, hvis adgangskoder var udløbet, er tvunget til at lave en ny adgangskode, og vil ikke kunne få adgang til deres konto og data på MyHeritage før de fuldfører dette. Denne procedure kan kun ske via en email der sendes til brugerens kontos email-adresse på MyHeritage. Dette vil gøre det vanskeligere for en hvilket som helst uautoriseret person, endda en der kender brugerens adgangskode, at få adgang til kontoen. Vi planlægger at afslutte processen med at lade alle adgangskoderne udløbe i løbet af de næste par dage, hvorefter alle de berørte adgangskoder ikke længere kan bruges til at få adgang til konti og data på MyHeritage. Bemærk at andre websites og tjenester der ejes og drives af MyHeritage, som Geni.com og Legacy Family Tree, ikke er berørt af hændelsen.
Som vi tidligere har skrevet, fremskynder vi arbejdet med at tilføje to-faktor godkendelsesfunktionen til MyHeritage, og vi vil opdatere når det er tilgængeligt, da det kraftigt anbefales at bruge det for at øge sikkerheden.
Brugere der oplever problemer med at ændre deres adgangskode eller har andre spørgsmål eller bekymringer, bør kontakte vores kundesupportsteam via e-mail på privacy@myheritage.com eller via telefon via telefonnummeret til et gratis telefonnummer i USA: +1 888 672 2875, som er tilgængeligt 24/7.
Vi mener, at indtrængen er begrænset til brugerens email-adresser. Vi har ingen grund til at tro at andre MyHeritage-systemer blev kompromitteret. For eksempel er kreditkortoplysninger ikke gemt på MyHeritage, men kun på betroede tredjeparts faktureringsudbydere som anvendes af MyHeritage. Andre typer af følsomme data, som slægtstræer og DNA-data, gemmes af MyHeritage på segregerede systemer, adskilt fra dem der gemmer e-mailadresserne, og de indeholder ekstra lag af sikkerhed. Vi har ingen grund til at tro at disse systemer er blevet kompromitteret.
Vi har gennemført GDPR-rapporteringsprocessen til myndighederne.
Vi gør os klar til, på individuel basis, at annoncere bruddet til brugerne via e-mail, hvilket er en proces der vil tage et stykke tid på grund af det store antal berørte brugere.
Det er endnu engang vigtigt for os at understrege, at dit privatliv og din datasikkerhed er, og vil altid forblive, vores højeste prioritet. Vi vil fortsat holde dig orienteret og opdateret vedrørende vores handlinger i løbet af de kommende dage.
Tak for din forståelse.
MyHeritage teamet
Kontakt
Omer Deutsch
Chief Information Security Officer, MyHeritage
Email: dpo@myheritage.com