הודעת MyHeritage על תקרית אבטחת מידע

אמש, 4 ביוני 2018, קיבל סמנכ"ל אבטחת מידע של חברת MyHeritage הודעה מחוקר אבטחה לפיה מצא החוקר קובץ בשם myheritage הכולל כתובות מייל וסיסמאות מוצפנות על שרת פרטי מחוץ ל-MyHeritage. צוות אבטחת המידע של החברה קיבל את הקובץ, בחן את הממצאים ואישר שאכן מדובר במידע שנלקח מ-MyHeritage וכולל כתובות מייל של משתמשים שנרשמו ל-MyHeritage עד 26 באוקטובר 2017 וסיסמאותיהם המוצפנות (hashed passwords).

מיד עם קבלת הקובץ, צוות אבטחת המידע של MyHeritage ניתח את הממצאים והחל בחקירה כדי לקבוע כיצד נלקח המידע והאם נעשה שימוש כלשהו באמצעותו. אנו מאשרים כי מדובר אכן במידע אותנטי הכולל כתובות דואר אלקטרוני וסיסמאות מוצפנות של 92,283,889 משתמשים שנרשמו באתר MyHeritage עד לתאריך 26 באוקטובר 2017 – מועד הפריצה. MyHeritage איננה שומרת סיסמאות של המשתמשים, אלא סיסמאות מוצפנות (hashed passwords). המשמעות היא שאין לאיש גישה לסיסמאות האמיתיות.

חוקר האבטחה דיווח כי לא קיים מידע נוסף הקשור ל-MyHeritage על השרת הפרטי. לא נמצאה שום ראיה לכך שהפורצים עשו שימוש כלשהו במידע שנגנב. מאז 26 באוקטובר 2017 (תאריך הפריצה) ועד היום לא זוהתה שום פעילות המצביעה על כך שנעשה שימוש לרעה בחשבונות MyHeritage.

אנו מאמינים כי פריצה זו מוגבלת לכתובות דואר אלקטרוני בלבד. אין לנו שום סיבה להאמין שמערכות נוספות ב-MyHeritage נפרצו אף הן. מידע הנוגע לכרטיסי אשראי, לדוגמא, איננו מאוחסן ב-MyHeritage אלא בספקי שירותי תשלומים מאובטחים (כדוגמת BlueSnap ו-PayPal). כל סוגי המידע הרגיש הנוספים כמו אילנות יוחסין ו-DNA מאוחסנים במערכות נפרדות, שונות מאלו בהן מוחזקים כתובות הדואר האלקטרוני והן כוללות שכבות שונות נוספות של אבטחת מידע. אין לנו שום סיבה להאמין שמערכות אלו נפרצו.

הפעולות שננקטו

מיד עם היוודע על התקרית, הקמנו צוות מיוחד שמטרתו לטפל בה ולחקור אותה. בנוסף, אנו נוקטים בפעולה מיידית לערב חברה עצמאית ומובילה בתחום אבטחת המידע על מנת לנהל תהליך ביקורת מקיף, לקבוע את היקף החדירה, לבצע הערכה ולהמליץ ​​על צעדים נוספים שניתן יהיה ליישם כדי למנוע הישנות אירועים דומים בעתיד.

אנו נוקטים בצעדים הדרושים כדי ליידע את הגורמים הרלוונטיים, כולל האסדרה הכללית להגנה על מידע (GDPR).

בנוסף לכך, נאיץ את עבודתנו על אופציית הכניסה המאובטחת באמצעות אימות דו-שלבי, יישום שיהיה זמין בקרוב לכל משתמשי MyHeritage. הדבר יאפשר למשתמשים המעוניינים בכך לאמת את עצמם באמצעות מכשיר נייד בנוסף לסיסמה, מה שיקשה עוד יותר על גישה לא חוקית לחשבונות MyHeritage.

כמו כן, הקמנו צוות שירות לקוחות שיפעל 24 שעות ביממה כדי לסייע ללקוחות שיש להם חששות או שאלות בנוגע לאירוע.

מה המשתמשים שלנו צריכים לעשות

משתמשי MyHeritage שיש להם שאלות או חששות יכולים לפנות לצוות התמיכה בשירות הלקוחות שלנו במייל privacy@myheritage.com או באמצעות מספר חיוג חינם בארה"ב הזמין 24 שעות ביממה, בטלפון 1-888-672-2875.

ליתר ביטחון, אנו ממליצים למשתמשינו לשנות את הסיסמה שלהם לאתר. תהליך פעולת שינוי הסיסמה מתואר בעמוד השאלות הנפוצות שלנו. בעתיד, לאחר שנשחרר כאמור את היישום לכניסה מאובטחת באמצעות אימות דו-שלבי, אנו ממליצים להשתמש גם באופציה הזו.

לעת עתה, אין פעולות נוספות שמשתמשי MyHeritage צריכים לנקוט כתוצאה מתקרית זו. עם זאת, אנו תמיד ממליצים לכל משתמשינו להקדיש זמן ומחשבה בכל הקשור לאבטחת המידע. השתדלו להימנע משימוש באותה סיסמה עבור שירותים שונים או אתרים מרובים. כמו כן, מומלץ להשתמש בסיסמאות חזקות ככל הניתן ולשנות אותן לעתים קרובות.

הפרטיות ואבטחת המידע של משתמשי MyHeritage הם בראש סדר העדיפויות שלנו. אנו מבצעים באופן קבוע הערכה של המדיניות והפעולות שלנו בתחום, ומחפשים דרכים חדשות להשתפר. אנו מבינים את החשיבות ואת האחריות שיש לנו על המידע שלכם, ועובדים כל יום על מנת להיות זכאים לאמונכם.

אנו מודים לכם על ההבנה.

עומר דויטש,

סמנכ"ל אבטחת מידע ב-MyHeritage

אימייל: dpo@myheritage.com