Verklaring van MyHeritage over een cyberbeveiligingsincident
- Door MyHeritageNL
Het Hoofd Informatiebeveiliging van MyHeritage heeft op 4 juni 2018 rond 19 uur CET een bericht van een beveiligingsdeskundige ontvangen, waarin deze meldde dat hij op een particuliere server buiten MyHeritage een bestand met de naam myheritage had gevonden dat e-mailadressen en gehashte wachtwoorden bevat. Ons informatiebeveiligingsteam heeft het bestand van de beveiligingsdeskundige ontvangen en kon bevestigen dat de inhoud ervan van MyHeritage afkomstig is en alle e-mailadressen en gehashte wachtwoorden bevat van gebruikers die zich tot en met 26 oktober 2017 bij MyHeritage hadden ingeschreven.
Het informatiebeveiligingsteam van MyHeritage heeft het bestand onmiddellijk na ontvangst geanalyseerd en is een onderzoek gestart om na te gaan hoe de inhoud ervan is verkregen en om uit te zoeken of het MyHeritage-systeem is aangevallen. We stelden vast dat het bestand echt is en alle e-mailadressen en gehashte wachtwoorden bevat van de 92.283.889 gebruikers die zich tot en met 26 oktober 2017, de datum van de beveiligingsschending, bij MyHeritage hebben ingeschreven. MyHeritage slaat geen wachtwoorden van de gebruikers op. We maken een eenzijdige hash van ieder wachtwoord, waarbij de hashcode voor iedere klant verschilt. Dit betekent dat iedereen die toegang krijgt tot de met onze hashfunctie versleutelde wachtwoorden niet over de werkelijke wachtwoorden beschikt.
De beveiligingsdeskundige meldde dat er geen andere gegevens met betrekking tot MyHeritage op de particuliere server zijn gevonden. Er is geen bewijs dat de gegevens uit het bestand ooit door de daders zijn gebruikt. Vanaf 26 oktober 2017 (de datum van de beveiligingsschending) tot heden hebben we geen activiteiten gezien die erop wijzen dat er inbreuk is gepleegd op MyHeritage-accounts.
We geloven dat de inbreuk beperkt is tot de e-mailadressen van de gebruikers. We hebben geen reden om aan te nemen dat er inbreuk is gepleegd op andere MyHeritage-systemen. Creditcardgegevens zijn bijvoorbeeld in het geheel niet bij MyHeritage opgeslagen. Ze zijn in handen van vertrouwde externe financiële dienstverleners, zoals BlueSnap en PayPal, waar MyHeritage gebruik van maakt. Andere soorten gevoelige gegevens, zoals stambomen en DNA-gegevens, worden door MyHeritage opgeslagen op gescheiden systemen die losstaan van de systemen waarin de e-mailadressen zijn opgeslagen. We hebben geen reden om aan te nemen dat er inbreuk op die systemen is gepleegd.
Stappen die we hebben ondernomen
Direct nadat we van het incident hadden kennisgenomen, hebben we een Information Security Incident Response Team opgezet om het incident te onderzoeken. We ondernemen ook onmiddellijk stappen om een toonaangevend, onafhankelijk cyberbeveiligingsbedrijf in te schakelen, om uitgebreid forensisch onderzoek uit te voeren en de omvang van de inbreuk vast te stellen. Het beveiligingsbedrijf zal ons beoordelen en aanbevelingen doen voor de stappen die we kunnen ondernemen om een dergelijk incident in de toekomst te voorkomen.
We nemen maatregelen om de relevante autoriteiten te informeren, onder meer op basis van de Algemene verordening gegevensbescherming (AVG).
We zullen haast maken met het aan alle MyHeritage-gebruikers beschikbaar stellen van de tweeledige verificatiemethode waar we momenteel aan werken. Dit biedt gebruikers die er gebruik van willen maken de mogelijkheid om zich behalve met een wachtwoord ook met een mobiel apparaat te verifiëren. Dit zal onrechtmatige toegang tot MyHeritage-accounts nog moeilijker maken.
We hebben een in beveiliging gespecialiseerd klantenserviceteam opgezet dat 24/7 beschikbaar is om klanten bij te staan die zich zorgen maken of vragen over het incident hebben.
Wat onze gebruikers moeten doen
MyHeritage-gebruikers die vragen of zorgen hebben in verband met dit incident kunnen contact opnemen met ons in beveiliging gespecialiseerde klantenserviceteam. Schrijf een e-mail naar privacy@myheritage.com. Ook zijn we 24 uur per dag, 7 dagen per week gratis bereikbaar op het telefoonnummer +1 888 672 2875 in de VS.
We raden alle geregistreerde MyHeritage-gebruikers aan om voor alle zekerheid hun wachtwoord op MyHeritage te wijzigen. Hoe u dit kunt doen, wordt uitgelegd in het volgende FAQ-artikel op MyHeritage. Zodra MyHeritage de komende tweeledige verificatiemethode beschikbaar stelt, raden we al onze gebruikers aan daar gebruik van te maken.
Vooralsnog hoeven MyHeritage-gebruikers naar aanleiding van dit incident geen andere maatregelen te nemen. We raden u echter altijd aan om na te gaan of uw beveiligingsgewoonten goed zijn. Vermijd het gebruik van hetzelfde wachtwoord voor verschillende diensten of websites. Ook is het een goede gewoonte om sterke wachtwoorden te gebruiken en deze vaak te wijzigen.
Voor de toekomst
Zoals altijd hebben uw privacy en de beveiliging van uw gegevens onze hoogste prioriteit. We evalueren voortdurend onze procedures en ons beleid en zoeken continu naar nieuwe wegen om onze beveiliging te verbeteren. We zijn doordrongen van het belang van onze rol als hoeders van uw informatie en werken elke dag om uw vertrouwen te verdienen.
We danken u voor uw begrip.
Contact
Omer Deutsch
Hoofd Informatiebeveiliging, MyHeritage
E-mail: dpo@myheritage.com