Le service de test ADN populaire signale une violation affectant 92 millions d'utilisateurs

Un des plus grands services de tests ADN a récemment découvert une violation qui touche plus de 90 millions de clients

Un chercheur en sécurité a trouvé, sur un serveur privé, les adresses e-mail et les mots de passe hachés de chaque client inscrit au service.

MyHeritage, un service de tests d'ADN basé en Israël, a signalé la violation dans un blog hier:

Aujourd'hui, 4 juin 2018 à environ 13 heures HNE, MyHeritage Le responsable de la sécurité de l'information a reçu un message d'un chercheur en sécurité qu'il avait trouvé un fichier nommé myheritage contenant des adresses e-mail et des mots de passe hachés, sur un serveur privé en dehors de MyHeritage.

L'équipe de sécurité des informations de MyHeritage a pu vérifier le fichier et confirmer qu'il provenait de la base de données utilisateur du site Web.

Les dommages semblent être limités aux adresses e-mail des clients. Alors que les mots de passe faisaient partie du fichier compromis, chacun d'eux était haché en utilisant un algorithme qui les rendait inutilisables en cas de violation. Les mots de passe hachés doivent généralement être considérés comme sécurisés. Mais puisque la déclaration officielle ne fait aucune mention de l'algorithme de hachage utilisé, il est vraiment impossible de le dire à ce stade.

MyHeritage ne croit pas que d'autres systèmes aient été compromis. Les informations de carte de crédit, par exemple, ne sont pas stockées sur le site Web mais avec des processeurs tiers de confiance comme BlueSnap et PayPal.

D'autres types de données sensibles, telles que les arbres généalogiques et les informations ADN, sont stockés sur un système séparé cela inclut des couches de sécurité supplémentaires non présentes sur celles stockant les adresses e-mail, selon l'entreprise.

Depuis l'apprentissage de l'incident, l'entreprise a mis en place une équipe d'intervention pour enquêter.

Immédiatement après avoir appris l'incident, nous avons mis en place une équipe d'intervention en cas d'incident de sécurité de l'information pour enquêter sur l'incident. Nous prenons également des mesures immédiates pour engager une firme de cybersécurité indépendante de premier plan afin d'effectuer des examens médico-légaux complets afin de déterminer l'étendue de l'intrusion; et de procéder à une évaluation et de fournir des recommandations sur les mesures qui peuvent être prises pour empêcher qu'un tel incident ne se reproduise à l'avenir.

MyHeritage a également pris des mesures pour informer les autorités compétentes, conformément aux nouvelles règles du GDPR. lorsque vous traitez des violations de cette nature, il ne serait certainement pas une mauvaise idée de changer votre mot de passe

MyHeritage déclaration sur un incident de cybersécurité
sur MyHeritage