Una brecha en MyHeritage expone datos de 92 millones de usuarios
- Vulnerabilidades
De acuerdo con un comunicado de la compañía, los hackers aún no han utilizado la información robada para lanzar ataques. MyHeritage ya ha presentado los informes de la GDPR a las autoridades, y comenzará a anunciar la infracción a los usuarios de forma individual.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
La empresa de pruebas de ADN MyHeritage ha informado de un incidente de ciberseguridad por el que se filtraron las direcciones de correo electrónico y las contraseñas hash de 92,3 millones de usuarios a un servidor privado fuera de la compañía. El Equipo de Respuesta a Incidentes de Seguridad Informática todavía está investigando este incidente, y aún desconoce el origen de la filtración. Tampoco ha encontrado indicios de que la información filtrada haya sido utilizada por individuos malintencionados.
Se estima que la intrusión queda limitada a las direcciones de correo electrónico de los usuarios, y que otros sistemas de MyHeritage no se han visto comprometidos. Por ejemplo, la información de la tarjeta de crédito no se almacena en MyHeritage, sino únicamente en los servicios de facturación de terceros autorizados que utiliza MyHeritage. MyHeritage almacena otros tipos de datos confidenciales como árboles genealógicos y datos de ADN en sistemas independientes de los que almacenan las direcciones de correo electrónico, e incluyen niveles añadidos de seguridad. Por tanto, no tienen fundamento para creer que esos sistemas se hayan visto comprometidos.
Tras ser informados del incidente por un Investigador de Seguridad, la compañía ha estado trabajando para adoptar medidas adicionales para ayudar a proteger a los usuarios. A pesar de que no se filtraron contraseñas, sino sólo versiones cifradas de las contraseñas, MyHeritage recomienda a los usuarios que cambien su contraseña. Sin embargo, para maximizar la seguridad de los usuarios, ha comenzado un proceso de expiración de todas las contraseñas de usuario, incluyendo los 92,3 millones de cuentas de usuario afectadas, además de los 4 millones de cuentas adicionales que se han registrado después de la fecha de infracción del 26 de octubre de 2017. Hasta el momento, han expirado las contraseñas de más de la mitad de las cuentas de usuario de MyHeritage.
Los usuarios cuyas contraseñas han sido expiradas están obligados a establecer una nueva contraseña y no podrán acceder a su cuenta y a sus datos en MyHeritage hasta que la hayan actualizado. Este procedimiento sólo puede realizarse a través de un correo electrónico enviado a la dirección de correo electrónico de su cuenta en MyHeritage. Esto hará que resulte mucho más difícil para cualquier persona no autorizada, incluso para alguien que conozca la contraseña del usuario, acceder a su cuenta.
La compañía también ha anunciado la aplicación de Autenticación de Dos Factores (2FA), una protección adicional opcional diseñada para garantizar que el cliente sea la única persona que pueda acceder a su cuenta, incluso si alguien sabe su contraseña.
Por otra parte, de acuerdo con lo estipulado por GDPR, la compañía ha completado el proceso de presentación de informes a las autoridades, y está procediendo a anunciar la infracción a los usuarios, de forma individual, a través del correo electrónico, un proceso que llevará algún tiempo debido al gran número de usuarios afectados.