基因分析和家譜網站MyHeritage去年遭到了一些不知名的角色的入侵,他們竊取了9200萬註冊用戶的電子郵件和密碼。沒有信用卡信息,更令人不安的是,基因數據似乎也沒有被收集。
該公司在其博客上宣佈了這一事件,並解釋說,一名不願透露姓名的安全研究員聯繫了他們,警告他們他在“一個私人服務器”上遇到的一個文件,標題是“myheritage”。裡面有數百萬封電子郵件和散列密碼。
哈希密碼是一種單向加密過程,可以方便地存儲敏感數據,儘管理論上有反向哈希的方法,但它們涉及大量的計算能力和相當大的運氣。因此,密碼可能是安全的,但MyHeritage建議所有用戶無論如何都要修改密碼,他們應該這樣做。
這些電子郵件並沒有從根本上揭示數據;這些年來,數十億美元通過Equifax和雅虎的違約行為曝光。它們主要與其他數據有關。例如,黑客可以通過交叉引用這個9200萬的列表來將2和2放在一起,而這些郵件的相應密碼是通過其他一些漏洞而知道的。這就是為什麼最好使用密碼管理器,併為每個站點設置唯一的密碼。
MyHeritage對其他數據沒有被訪問的信心似乎是有原因的:
信用卡信息不是存儲在MyHeritage上的,而是由MyHeritage使用的可信的第三方支付提供商(如BlueSnap, PayPal)。其他類型的敏感數據,如族譜和DNA數據,由MyHeritage保存在分離的系統上,與存儲電子郵件地址的系統分開,它們還包括附加的安全層。我們沒有理由相信這些系統已經被破壞。
當然,直到最近,該公司也沒有理由相信其他系統已經受到損害。這是關於網絡安全的棘手問題之一。但我們可以從這一聲明中得到公司的理解,即自黑客入侵以來,我們一直在密切關注其更敏感的服務器和系統,但一無所獲。
兩因素身份驗證已經在開發中,但是團隊正在“加速”它的推出,所以如果您是一個用戶,請確保在它可用時儘快設置它。
完整的報告可能需要一段時間;該公司正計劃聘請一家外部安全公司來調查這一違約事件,並正在努力通知相關部門,包括美國法律和GDPR等。
我已經要求MyHeritage進一步的評論和澄清一些事情,如果我收到回覆,我會更新這篇文章。
閱讀更多 快樂的小柴犬0207 的文章
