Millioner av epostadresser har lekket fra slektsforskningsnettstedet MyHeritage

MyHeritage homepage

Nettsiden MyHeritage som spesialiserer seg på slektsforskning og DNA-testing, etterforsker nå et alvorlig sikkerhetshull etter at en sikkerhetsekspert fant epostadresser og hash-strenger av passord som tilhørte 92 millioner brukere av siden. Informasjonen i filen stammer fra 27. oktober 2017, og hvem som helst som registrerte seg på nettsiden før det kan dermed være berørt.

Eksperten kontaktet selskapet etter å ha oppdaget filen, og sikkerhetsfolkene til MyHaritage jobber nå med saken. I tillegg har de hentet inn hjelp fra et uavhengig sikkerhetsbyrå.

Foreløpig er det ikke funnet noen andre tilfeller av brukerdata på den aktuelle serveren, og i og med at passordene var lagret i form av hash-strenger så er det bare epostadressene som er lesbare. MyHaritage påpeker også at det ikke finnes noe bevis for at dataene er misbrukt på noen måte.

– MyHaritage lagrer ikke brukerpassord, men bruker i stedet en enveis hash-løsning der nøkkelen er ulik for hver kunde. Selv om noen skulle få tilgang til hash-strengene, betyr ikke det dermed at de besitter de virkelige passordene, forklarer selskapet i en bloggpost.

Begrenset risiko

Andre data, som informasjonen som brukes til å bygge slektstrær, lagres separat og er derfor ikke kompromittert. Det skal heller ikke være noen fare for at kredittkortinformasjon har blitt stjålet, siden nettsiden kun tilbyr PayPal som betalingsløsning.

Epostadresser er imidlertid verdifulle nok i seg selv, og en enorm liste som dette kan være et nyttig utgangspunkt for kriminelle som vil starte en phishing-kampanje.

Ikke minst er denne lekkasjen spesielt pinlig fordi den kommer for en dag like i kjølvannet av implementeringen av EUs nye personvernforordning (GDPR), som nettopp dreier seg om at selskaper som håndterer personlig informasjon må ta nødvendig grep for å unngå at den ender opp i gale hender. Samtidig er det selvfølgelig også akkurat denne typen informasjon nettsider som MyHeritage er bygget rundt.

MyHeritage anbefaler at alle brukere bytter passord for sikkerhets skyld, og de opplyser også om at de jobber med å oppgradere til tofaktor-autentisering i nær fremtid. Dermed får brukerne mulighet til å sikre kontoene sine bedre mot for eksempel phishing-angrep.

Via Engadget