MyHeritagen lausunto tietoturvahäiriöstä

MyHeritagen lausunto tietoturvahäiriöstä

Tänään, kesäkuun neljäntenä 2018 noin klo 13 EST (itäistä normaaliaikaa), MyHeritagen tietoturvajohtaja sai viestin yhdeltä turvallisuustutkijaltamme, joka oli löytänyt yksityiseltä, MyHeritagen ulkopuolella olevalta palvelimelta myheritage-nimisen tiedoston, joka sisälsi sähköpostiosoitteita ja hajautettuja salasanoja. Tietoturvaryhmämme sai tiedoston turvallisuustutkijalta ja vahvisti sen sisällön olevan MyHeritagesta ja sisältävän sähköpostiosoitteet ja hajautetut salasanat kaikilta niiltä käyttäjiltä, jotka ovat kirjautuneet MyHeritageen 26.10.2017 alkaen.

Välittömästi, saatuaan tiedoston, MyHeritagen tietoturvaryhmä analysoi sen ja aloitti tutkimuksen sen selvittämiseksi, kuinka sisältö on saatu. Tietoturvaryhmä aloitti myös mahdollisen MyHeritage-järjestelmän hyväksikäytön tunnistamisen. Tulimme siihen tulokseen, että tiedosto oli oikea sisältäen, 26.10.2017 jälkeen (ko. päivä mukaan lukien), kirjautuneen 92 283 889 käyttäjän sähköpostiosoitteet ja hajautetut salasanat. MyHeritage ei varastoi käyttäjien salasanoja sellaisenaan vaan yksisuuntaisesti hajautettuna, jolloin hajautusavain on erilainen jokaiselle käyttäjälle. Se tarkoittaa sitä, että jos joku pääsee käsiksi hajautettuihin salasanoihin, hänellä ei kuitenkaan ole todellisia salasanoja.

Turvallisuustutkija raportoi, ettei mitään muuta MyHeritageen liittyvää dataa löytynyt tältä yksityiseltä palvelimelta. Mitään todisteita ei ole siitä, että nämä rikolliset olisivat koskaan käyttäneet näitä tietoja. Lokakuun 26:sta 2017 (murtopäivä) tähän päivään emme ole nähneet mitään merkkejä siitä, että MyHeritage-tilit olisivat vaarantuneet.

Uskomme, että tunkeutuminen on rajoittunut käyttäjien sähköpostiosoitteisiin. Meillä ei ole mitään syytä uskoa muiden MyHeritage-järjestelmien vaarantuneen. Esimerkkinä luottokorttitiedot, joita ei tallenneta MyHeritagessa vaan MyHeritage hyödyntää luotettuja kolmannen osapuolen laskutuksen tarjoajia (esim. BlueSnap, PayPal). MyHeritage tallentaa muita arkaluonteisia tietoja, kuten sukupuita ja DNA-tietoja erillisillä järjestelmillä erillään niistä, jotka tallentavat sähköpostiosoitteita, ja ne sisältävät lisättyjä suojaustasoja. Meillä ei ole mitään syytä uskoa näiden järjestelmien vaarantuneen.

Toimenpiteet, joihin olemme ryhtyneet

Välittömästi, saatuamme tiedon tapauksesta, perustimme vastaavan tietoturvahäiriöryhmän tutkimaan tapausta. Ryhdyimme myös välittömästi kiinnittämään johtavan, itsenäisen tietoturvallisuusalan yrityksen tapauksen tutkintaan, tehtävänään perusteelliset rikostekniset arvioinnit, jotta tunkeutumisen laajuus voidaan määritellä ja saada suositukset toimenpiteistä, jotka voidaan toteuttaa tällaisen tapauksen ehkäisemiseksi tulevaisuudessa.

Olemme ryhtyneet toimenpiteisiin informoidaksemme asiaankuuluvia viranomaisia kuten GDPR.

Nopeutamme kaikille MyHeritage-käyttäjille tarjottavan, työn alla olevan, kaksivaiheisen tunnistautumisen aikataulua. Sen avulla ne käyttäjät, jotka haluavat hyötyä siitä, voivat salasanan lisäksi tunnistautua mobiililaitteella, mikä lisää entisestään heidän MyHeritage-tilinsä suojausta laittomalta pääsyltä.

Perustamme asiakastukeen 24/7 turvallisuustiimin, joka auttaa asiakkaita, joilla on huolia tai kysymyksiä asiasta.

Mitä käyttäjiemme pitäisi tehdä

MyHeritage-käyttäjät, joilla on huolia tai kysymyksiä tämän tapauksen johdosta voivat ottaa yhteyttä asiakastuen turvallisuustiimiin sähköpostilla privacy@myheritage.com tai puhelimitse maksuttomaan numeroon (+358) 800102172 Su – to 8-22 ja pe 8-16. Maksimiturvallisuuden saamiseksi suosittelemme, että kaikki rekisteröityneet MyHeritage-käyttäjät vaihtavat MyHeritage-salasanansa. Salasanan vaihtaminen on kuvattu MyHeritagen sivulla FAQ-artikkeli. Huomaa, että jos käytät Family Tree Builderia, sinun täytyy vaihtaa myös kirjautumistietosi siellä.Ohje siihen löytyy täältä. Kun MyHeritage julkaisee tulossa olevan kaksivaiheisen tunnistuksen, toivomme kaikkien kayttäjiemme ottavan sen käyttöön.

Tällä hetkellä MyHeritage-käyttäjien ei tämän tapauksen johdosta tarvitse tehdä muuta. Suosittelemme kuitenkin, että käytät aikaa turvallisuuskäytäntöjesi arvioimiseksi. Vältä saman salasanan käyttämistä monilla sivuilla ja eri palveluissa. On hyvä käyttää vahvoja salasanoja ja vaihtaa niitä usein.

Katse eteenpäin

Kuten aina, yksityisyytesi ja tietojesi turvallisuus on ykkösprioriteettimme. Arvioimme jatkuvasti menettely- ja toimintatapojamme ja etsimme uusia menetelmiä parantaa lähestymistapaamme turvallisuusasioihin. Ymmärrämme roolimme tärkeyden tietojesi vartijana ja teemme työtä päivittäin ansaitaksemme luottamuksesi.

Kiitos ymmärryksestäsi.

Yhteystiedot

Omer Deutsch
Chief Information Security Officer, MyHeritage
Email: dpo@myheritage.com