פרצה ענקית ב-MyHeritage: פרטיהם של 92 מיליון משתמשים דלפו

פרצת אבטחה חמורה באתר השורשים הישראלי הגדול MyHeritage. פרטיהם של יותר מ-92 מיליון דלפו לרשת. החברה: ”אין הוכחות לשימוש לרעה במידע”

צילום מסך

פרצת אבטחה ענקית באתר אילנות היוחסין הישראלי הגדול MyHeritage (מיי הריטג’). בפוסט שפרסם היום (ג’) סמנכ”ל אבטחת המידע של החברה, עומר דויטש, סיפר כי פרטיהם של 92 מיליון המשתמשים באתר דלפו לרשת, כולל המייל והסיסמאות, בהם הם השתמשו.

92,283,889 פרטים דלפו לרשת

בפוסט שהופיע בבלוג החברה, מספר דויטש כי אתמול (ב’) פנה לחברה חוקר אבטחת מידע וסיפר כי נתקל בקובץ בשם “MyHeritage”. אחרי בדיקת הקובץ התגלה כי הוא מכיל את שמותיהם של 92 מיליון משתמשי האתר, כולל כתובות המייל שלהם וכן את הסיסמאות המגובבות (Hash) שלהם. מדובר למעשה בכלי לשימוש פנימי של החברה לאימות סיסמה, שתיאורטית אינו מאפשר להפיק ממנו את הסיסמה המקורית ואינו מאפשר לקבל גישה לחשבון.

על פי ההודעה של החברה, לא ידוע מי עומד מאחורי הפריצה ולא ברור האם נעשה שימוש לרעה בפרטים הללו. עם זאת, מדגישים בחברה שלא נגנבו פרטי כרטיסי אשראי – ואולי יותר חשוב – לא נגנב מידע גנטי.

בשנים האחרונות הציעה החברה ערכות DNA שיעזרו למשתמשים להתחקות אחר שורשיהם, וכאמור, על פי החברה, לא דלף המידע הגנטי לרשת.

כצעד ראשון מבקשת החברה מהמשתמשים המודאגים להחליף את הסיסמאות שלהם, כשבשלב השני, היא מציעה להם לעשות שימוש באימות דו-שלבי – אותו היא מתכננת להשיק בקרוב. החברה הודיעה כי שכרה חברת אבטחה חיצונית לצורך תחקור הפרצה החמורה והיא פועלת ליידוע הרשויות בהתאם לחוקי הגנת הפרטיות בארצות הברית וה-GDPR באירופה.

בהודעה המלאה נכתב:

״אמש, 4 ביוני 2018, קיבל סמנכ”ל אבטחת מידע של חברת MyHeritage הודעה מחוקר אבטחה לפיה מצא החוקר קובץ בשם myheritage הכולל כתובות מייל וסיסמאות מוצפנות על שרת פרטי מחוץ ל-MyHeritage. צוות אבטחת המידע של החברה קיבל את הקובץ, בחן את הממצאים ואישר שאכן מדובר במידע שנלקח מ-MyHeritage וכולל כתובות מייל של משתמשים שנרשמו ל-MyHeritage עד 26 באוקטובר 2017 וסיסמאותיהם המוצפנות (hashed passwords).

מיד עם קבלת הקובץ, צוות אבטחת המידע של MyHeritage ניתח את הממצאים והחל בחקירה כדי לקבוע כיצד נלקח המידע והאם נעשה שימוש כלשהו באמצעותו. אנו מאשרים כי מדובר אכן במידע אותנטי הכולל כתובות דואר אלקטרוני וסיסמאות מוצפנות של 92,283,889 משתמשים שנרשמו באתר MyHeritage עד לתאריך 26 באוקטובר 2017 – מועד הפריצה. MyHeritage איננה שומרת סיסמאות של המשתמשים, אלא סיסמאות מוצפנות (hashed passwords). המשמעות היא שאין לאיש גישה לסיסמאות האמיתיות.

חוקר האבטחה דיווח כי לא קיים מידע נוסף הקשור ל-MyHeritage על השרת הפרטי. לא נמצאה שום ראיה לכך שהפורצים עשו שימוש כלשהו במידע שנגנב. מאז 26 באוקטובר 2017 (תאריך הפריצה) ועד היום לא זוהתה שום פעילות המצביעה על כך שנעשה שימוש לרעה בחשבונות MyHeritage.

אנו מאמינים כי פריצה זו מוגבלת לכתובות דואר אלקטרוני בלבד. אין לנו שום סיבה להאמין שמערכות נוספות ב-MyHeritage נפרצו אף הן. מידע הנוגע לכרטיסי אשראי, לדוגמא, איננו מאוחסן ב-MyHeritage אלא בספקי שירותי תשלומים מאובטחים (כדוגמאת BlueSnap ו-PayPal). כל סוגי המידע הרגיש הנוספים כמו אילנות יוחסין ו-DNA מאוחסנים במערכות נפרדות, שונות מאלו בהן מוחזקים כתובות הדואר האלקטרוני והן כוללות שכבות שונות נוספות של אבטחת מידע. אין לנו שום סיבה להאמין שמערכות אלו נפרצו.

הפעולות שננקטו
מיד עם היוודע על התקרית, הקמנו צוות מיוחד שמטרתו לטפל בה ולחקור אותה. בנוסף, אנו נוקטים בפעולה מיידית לערב חברה עצמאית ומובילה בתחום אבטחת המידע על מנת לנהל תהליך ביקורת מקיף, לקבוע את היקף החדירה, לבצע הערכה ולהמליץ ​​על צעדים נוספים שניתן יהיה ליישם כדי למנוע הישנות אירועים דומים בעתיד.

אנו נוקטים בצעדים הדרושים כדי ליידע את הגורמים הרלוונטיים, כולל האסדרה הכללית להגנה על מידע (GDPR).

בנוסף לכך, נאיץ את עבודתנו על אופציית הכניסה המאובטחת באמצעות אימות דו-שלבי, יישום שיהיה זמין בקרוב לכל משתמשי MyHeritage. הדבר יאפשר למשתמשים המעוניינים בכך לאמת את עצמם באמצעות מכשיר נייד בנוסף לסיסמה, מה שיקשה עוד יותר על גישה לא חוקית לחשבונות MyHeritage.

כמו כן, הקמנו צוות שירות לקוחות שיפעל 24 שעות ביממה כדי לסייע ללקוחות שיש להם חששות או שאלות בנוגע לאירוע.

מה המשתמשים שלנו צריכים לעשות
משתמשי MyHeritage שיש להם שאלות או חששות יכולים לפנות לצוות התמיכה בשירות הלקוחות שלנו במיילprivacy@myheritage.com או באמצעות מספר חיוג חינם בארה”ב הזמין 24 שעות ביממה, בטלפון 1-888-672-2875.

ליתר ביטחון, אנו ממליצים למשתמשינו לשנות את הסיסמה שלהם לאתר. תהליך פעולת שינוי הסיסמה מתואר בעמוד השאלות הנפוצות שלנו. בעתיד, לאחר שנשחרר כאמור את היישום לכניסה מאובטחת באמצעות אימות דו-שלבי, אנו ממליצים להשתמש גם באופציה הזו.

לעת עתה, אין פעולות נוספות שמשתמשי MyHeritage צריכים לנקוט כתוצאה מתקרית זו. עם זאת, אנו תמיד ממליצים לכל משתמשינו להקדיש זמן ומחשבה בכל הקשור לאבטחת המידע. השתדלו להימנע משימוש באותה סיסמה עבור שירותים שונים או אתרים מרובים. כמו כן, מומלץ להשתמש בסיסמאות חזקות ככל הניתן ולשנות אותן לעתים קרובות.

הפרטיות ואבטחת המידע של משתמשי MyHeritage הם בראש סדר העדיפויות שלנו. אנו מבצעים באופן קבוע הערכה של המדיניות והפעולות שלנו בתחום, ומחפשים דרכים חדשות להשתפר. אנו מבינים את החשיבות ואת האחריות שיש לנו על המידע שלכם, ועובדים כל יום על מנת להיות זכאים לאמונכם״.

MyHeritage הוקמה ב-2003 על ידי גלעד יפת וגייסה מאז 49 מיליון דולר בסבבי גיוס שונים, כשבין המשקיעים ניתן למנות כמה מהקרנות הנחשבות בעולם כמו Accel, Index ו-Bessemer.

 

 

 

 

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

12 תגובות על "פרצה ענקית ב-MyHeritage: פרטיהם של 92 מיליון משתמשים דלפו"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Roy
Guest

באסה. רק אל תכתבו בהתחלה כולל סיסמאות. אם זה hashed. אח”כ שיחקתם, אבל הכותרת…

Roy
Guest

ה 92.000.000 שפרצו להם זה כולל רק אנשים חיים או גם מתים?

ארכיטקט ווב
Guest

נשמע כמו דיבי-דאמפ של עובד חברה מבפנים.

ASD
Guest

אין סיכוי שמישהו בחברה יכול לעשות דבר כזה ואף אחד לא היה עולה עליו. רק העלות של שאילתא כזאת היתה מרימה אלף גבות שלא לדבר על הזמן שהיה לוקח לעובד בודד להוריד את המידע למחשב שלו בלי להיות מושבת.

עוקב של נועם
Guest

אם פרטי המשתמשים בDB נפרד מהדאטה לא מדובר על קובץ ככ גדול, עובד עם גישה לשרת יכול להוריד אותו לדיסק זה פחות בולט. בכל מקרה לא זה מה שקרה וכנ”ל

עוקב של נועם
Guest

הקובץ עם ה hashes אשכרה היה על שרת חשוף לרשת. עיין תגובתי

moti
Guest

מה לגבי החברה שהם קנו Geni?

יצחק כהן
Guest

ב”ה

כל הכבוד לחברה שקודם כל לוקחת אחריות ויודעת לצאת עם הודעה מסודרת שמגלה שקיפות ומרגיעה את הציבור, ומבטיחה לפעול טוב יותר מכאן ולהבא.
פשלות יכול לקרות אצל כולם

חוץ מזה איך שנראה אופן הפריצה צריך לעשות שיעורי בית מבפנים וכנראה צריך להעיף מישהו..

ASD
Guest

שום כל הכבוד, הם מחוייבים על פי תקנות ה-GDPR. אחרת היו תוקעים להם כזה קנס שהם היו צריכים לחזור אלף דורות אחורה כדי למצוא איזה מלך בשושלת יוחסין שלהם שישלם הכל.

מישהו
Guest

זה נכון ובלי קשר לא מגיע כל הכבוד לחברה ששמרה ככה על מידע של לקוחות, בפרט חברה שמתעסקת במידע גנטי. אבל המציאות היא שחברות מתנהגות גרוע כשחושפים פרצות שלהן, עיין תגובת משלוחה לפרצה האחרונה

עוקב של נועם
Guest

הקרדיט הוא לנועם רותם (@noamr) שגילה את הפרצה כחלק מפרויקט מיפוי הרשת הישראלית, גילה לחברה והמתין עד שהם אשרו לפרסם. פרסם בטוויטר ובבלוג שלו.

הקובץ בו נשמרו ה hashes אשכרה היה על שרת פתוח לאינטרנט, הפרצה התגלתה כחלק מפרויקט מיפוי הרשת של רותם.

עוקב של נועם
Guest

סליחה! כנראה טעיתי ולא הוא החושף.

wpDiscuz

תגיות לכתבה: