Cyberbeveiligingsincident: update 5-6 juni

Gisteren rapporteerden we over een cybersecurity incident bij MyHeritage, waarbij de emailadressen en gehashte wachtwoorden van 92.3 miljoen MyHeritage gebruikers zijn gelekt naar een particuliere server buiten MyHeritage.

Ons Information Security Incident Response Team is momenteel nog bezig met het onderzoek naar dit incident, en we hebben nog geen update over de bron van het lek. We zijn geen misbruik van enige accounts op MyHeritage tegengekomen, noch bewijs dat de gelekte informatie is gebruikt door kwaadwillende actoren.

Het incident is naar ons gerapporteerd door een beveiligingsdeskundige op 4 juni 2018 rond 1 pm. EST, wat 8pm is op ons hoofdkantoor in Israël. We riepen onze mensen bij elkaar om het incident te onderzoeken, verzamelden voldoende details om het publiek te communiceren en deden dit binnen 8 uur vanaf het moment dat het ons bekend was.

Vanaf het moment van kennisneming hiervan, hebben we letterlijk de klok rond gewerkt, met aanvullende stappen om onze gebruikers te helpen beschermen en we willen u een update geven over onze vooruitgang op dit gebied, een daag na ons initiële bericht.

Ook al zijn er geen wachtwoorden gelekt, maar alleen gehashte verisies van de wachtwoorden, hebben we onze gebruikers aangemoedigd om hun wachtwoord te veranderen. Velen hebben dit reeds gedaan. Echter, om de veiligheid van onze gebruikers te maximaliseren, zijn we gestart met het proces om alle gebruikerswachtwoorden op MyHeritage te laten verlopen. Dit proces zal plaatsvinden gedurende de komende dagen. Het omvat alle 92.3 miljoen gebruikersaccounts die zijn getroffen, plus alle 4 miljoen aanvullende accounts die zijn inschreven bij MyHeritage na 26 oktober 2017, de datum van de beveiligingsschending. Vanaf nu hebben we reeds de wachtwoorden laten verlopen van meer dan de helft van de gebruikersaccounts op MyHeritage. Gebruikers wiens wachtwoord was verlopen zijn gedwongen om een nieuw wachtwoord in te stellen wanneer zij MyHeritage bezoeken. Zij hebben geen toegang tot hun account en gegevens op MyHeritage totdat zij dit hebben voltooid. Deze procedure kan alleen worden gedaan door middel van een email, gestuurd naar het geregistreerde emailadres van hun MyHeritage account. Dit maakt het veel moeilijker voor enige ongeautoriseerde persoon, zelfs iemand die het wachtwoord van de gebruiker kent, om toegang tot het account te verkrijgen. We plannen om het proces van het verlopen van alle wachtwoorden in de komende dagen te voltooien. Daarna zullen alle getroffen wachtwoorden niet meer bruikbaar zijn voor toegang tot accounts en gegevens op MyHeritage. Andere websites en diensten waarvan MyHeritage eigenaar en beheerder is, zoals Geni.com en Legacy Family Tree, zijn niet getroffen door dit incident.

Zoals gemeld, maken we haast met het werk om een tweeledige verificatiemethode toe te voegen aan MyHeritage en we zullen een update geven wanneer dit live is, aangezien het gebruik hiervan zodra beschikbaar sterk wordt aanbevolen om de veiigheid te vergroten.

Gebruikers die problemen ervaren bij het veranderen van hun wachtwoord of andere vragen of zorgen hebben, dienen contact op te nemen met ons security customer support team via email: privacy@myheritage.com of telefonisch via de gratis hulplijn: (USA) +1 888 672 2875, die 24/7 beschikbaar is.

We geloven dat de inbreuk beperkt is tot de e-mailadressen van de gebruikers. We hebben geen reden om aan te nemen dat er inbreuk is gepleegd op andere MyHeritage-systemen. Als voorbeeld: om te beginnen wordt creditcard informatie niet bewaard op MyHeritage, maar alleen bij vertrouwde externe financiële dienstverleners waar MyHeritage gebruik van maakt.

Andere soorten gevoelige gegevens, zoals stambomen en DNA-gegevens, worden door MyHeritage opgeslagen op gescheiden systemen die losstaan van de systemen waarin de e-mailadressen zijn opgeslagen, en deze omvatten meerdere beveiligingslagen. We hebben geen reden om aan te nemen dat er inbreuk op die systemen is gepleegd.

We hebben het rapportage proces aan de autoriteiten voltooid conform de Algemene verordening gegevensbescherming (AVG).

We treffen voorbereidingen om de inbreuk te communiceren aan onze gebruikers, op individuele basis, per email; een proces dat enige tijd in beslag zal nemen vanwege het grote aantal van getroffen gebruikers.

Nogmaals, we vinden het belangrijk te benadrukken dat uw privacy en de beveiliging van uw data onze hoogste prioriteit is en altijd zal blijven. We zullen u blijven informeren en op de hoogte houden van onze acties in de komende dagen.

Bedankt voor uw begrip.

Het MyHeritage team

Contact
Omer Deutsch
Hoofd Informatiebeveiliging, MyHeritage
Email: dpo@myheritage.com