MyHeritage sufre una fuga masiva de datos que afecta a 92 millones de usuarios

Las direcciones de correo electrónico de más de 92 millones de usuarios de MyHeritage fueron expuestas recientemente a través de un servidor privado fuera del control de la empresa, reveló ayer, cuando inicia una investigación sobre la violación.

MyHeritage sufre una fuga masiva de datos que afecta a 92 millones de usuarios

La plataforma de geneología con sede en EE. UU. admitió la infracción ocho horas después de que un investigador de seguridad anónimo le enviara un archivo que contenía las direcciones de correo electrónico de 92 283 889 usuarios que se habían registrado en el servicio el 26 de octubre de 2017, lo que representa el 96 % de su base de usuarios, junto con sus contraseñas cifradas.

MyHeritage cree que la filtración se limitó a direcciones de correo electrónico, ya que no almacena contraseñas; más bien, almacena un hash unidireccional de cada contraseña, en el que la clave hash es diferente para cada cliente. Su equipo de respuesta a incidentes de seguridad de la información todavía está investigando la violación, pero no tiene una actualización sobre la fuente de la fuga.

Si bien no ha revelado dónde estaba el servidor privado en cuestión, dijo que no hay evidencia de que ningún pirata informático haya accedido a los datos almacenados en él.

La compañía dijo que no tenía motivos para creer que otros sistemas estuvieran comprometidos y que no había visto ninguna actividad que indicara que las cuentas estaban comprometidas como resultado de la filtración. La información confidencial, como el árbol genealógico o los datos de ADN, se almacenan en sistemas segregados separados de los servidores que almacenan las direcciones de correo electrónico y están equipados con capas adicionales de seguridad.

“Inmediatamente después de enterarnos del incidente, creamos un Equipo de Respuesta a Incidentes de Seguridad de la Información para investigar el incidente”, escribió el director de seguridad de la información, Omer Deutsch, en un publicar en el sitio web de la empresa.

“También estamos tomando medidas inmediatas para contratar a una firma líder e independiente de seguridad cibernética para que realice revisiones forenses integrales para determinar el alcance de la intrusión, y para realizar una evaluación y brindar recomendaciones sobre los pasos que se pueden tomar para ayudar a prevenir que ocurra un incidente de este tipo. en el futuro.”

Deutsch añadido en un publicación de seguimiento publicada hoy que “desde el momento en que nos enteramos de esto, hemos estado trabajando literalmente las 24 horas del día, tomando medidas adicionales para ayudar a proteger a nuestros usuarios”.

También describió cómo la compañía tiene la intención de reforzar sus medidas de seguridad en el futuro, incluida la implementación de la autenticación de dos factores para sus usuarios, así como la creación de un equipo de atención al cliente de seguridad las 24 horas, los 7 días de la semana para ayudar a los usuarios con inquietudes sobre el incidente.

Mientras tanto, MyHeritage dijo que informó la filtración a las autoridades pertinentes a la luz de la UE. Reglamento General de Protección de Datos (RGPD)y ha comenzado el proceso de forzar la caducidad de todas las contraseñas de los usuarios, con más de la mitad de las cuentas de usuario vencidas. Además, la compañía se está preparando para contactar a los usuarios afectados individualmente por correo electrónico.

La escala de la infracción es comparable a una infracción similar afectando a 150 millones de usuarios de MyFitnessPal a principios de este año, considerado uno de los más grandes de la historia, en el que los atacantes robaron nombres de usuario, direcciones de correo electrónico y contraseñas cifradas.

Aunque las violaciones de datos han ido en aumento a nivel mundial, los hallazgos publicados en abril sugieren que las filtraciones provenientes de organizaciones del Reino Unido han disminuidocon un 40 % menos de registros de datos robados o comprometidos en 2017 en comparación con el año anterior.