Igår rapporterade vi om en cybersäkerhetshändelse hos MyHeritage, där e-postadresser och krypterade lösenord till 92,3 miljoner MyHeritage-användare läcktes till en privat server utanför MyHeritage.
Vårt team för informationssäkerhet undersöker fortfarande denna händelse, och vi har ännu inte någon uppdatering om källan till läckan. Vi har inte stött på något missbruk av konton på MyHeritage eller bevis på att läckt information har använts av skadliga aktörer.
Händelsen rapporterades till oss av en säkerhetsforskare, den 4 juni 2018, klockan 13:00 EST, vilket är 08:00 i Israel, där vårt huvudkontor finns. Vi har samlat ihop vårt team för att undersöka händelsen och samlat tillräckligt med information för att kunna meddela det offentligt och vi gjorde det inom 8 timmar efter att ha fått reda på det.
Från det ögonblick som detta blev känt för oss har vi arbetat bokstavligen dygnet runt, med ytterligare åtgärder för att skydda våra användare och vi vill uppdatera dig om våra framsteg inom detta område hittills, dagen efter vår första rapport.
Trots att inga lösenord har läckt utan bara krypterade versioner av lösenorden, har vi uppmuntrat våra användare att ändra sina lösenord, och många har redan gjort det. Men för att maximera säkerheten hos våra användare har vi påbörjat processen att ALLA användarlösenord på MyHeritage kommer att ha ett förfallodatum. Denna process kommer att ske under de närmaste dagarna. Detta kommer att innehålla alla 92,3 miljoner drabbade användarkonton plus alla ytterligare 4 miljoner konton som har anmält sig till MyHeritage efter den 26 oktober 2017. Från och med nu har vi redan utdaterat lösenorden på mer än hälften av alla användarkonton på MyHeritage. Användare vars lösenord har förfallit måste sätta upp ett nytt lösenord och kommer inte att få åtkomst till sitt konto och sina data på MyHeritage tills de har slutfört processen. Denna procedur kan endast göras via ett e-postmeddelande som skickas till deras kontos e-postadress på MyHeritage. Detta gör det svårare för någon obehörig person, till och med någon som känner till användarens lösenord, att komma åt kontot. Vi planerar att slutföra processen med att alla lösenord ska utgå, de närmaste dagarna. Då kommer alla drabbade lösenord inte längre att kunna användas för att få tillgång till konton och data på MyHeritage. Observera att andra webbplatser och tjänster som ägs och drivs av MyHeritage, till exempel Geni.com och Legacy Family Tree, inte har påverkats av händelsen.
Som tidigare nämnts, arbetar vi intensivt med att lägga till tvåfaktorautentisering till MyHeritage och vi kommer att uppdatera när det är live, då det starkt rekommenderas att använda det, när det blir tillgängligt, för att öka säkerheten.
Användare som upplever svårigheter med att ändra sitt lösenord eller användare som har andra frågor, kan kontakta vårt säkerhets-kundsupportteam via e-post på privacy@myheritage.com eller via telefon på telefonnummer (USA) +1 888 672 2875, tillgänglig 24/7.
Vi tror att detta intrång är begränsat till användarnas e-postadresser. Vi har ingen anledning att tro att några andra MyHeritage-system har komprometterats. Som ett exempel så lagras inte kreditkortsinformation på MyHeritage till att börja med, utan endast på betrodda tredjeparts faktureringsleverantörer som används av MyHeritage. Andra typer av känsliga data som familjeträd och DNA-data lagras av MyHeritage på segregerade system, skilda från de som lagrar e-postadresserna, och de innehåller ytterligare säkerhetslager. Vi har ingen anledning att tro att dessa system har komprometterats.
Vi har slutfört GDPR-rapporteringsprocessen till myndigheterna.
Vi är redo att meddela allt detta till användarna, individuellt via e-post, en process som kommer att ta tid på grund av det stora antalet drabbade användare.
Återigen är det viktigt att vi betonar att din integritet och säkerheten för dina data, är och kommer alltid att förbli vår högsta prioritet. Vi fortsätter att hålla dig informerad och uppdaterad om våra åtgärder under de kommande dagarna.
Tack för att du förstår.
MyHeritage team
Kontakt
Omer Deutsch
Chief Information Security Officer, MyHeritage
Email: dpo@myheritage.com
