更多全球網絡安全資訊盡在E安全官網www.easyaq.com
據報道,一名安全研究人員在第三方服務器上發現一份文檔中
9200多萬 MyHeritage 用戶的個人信息,這起數據洩露事件從而浮出水面。
洩露的文件僅包含電子郵件和哈希密碼
這份文檔中僅包含電子郵件和哈希密碼,並不包含支付卡詳情或 DNA 檢測結果。MyHeritage 公司稱其使用第三方付款處理器進行財務操作,也就是說並未將支付數據存儲在系統上,而 DNA 檢測結果則單獨存儲在其它服務器上。
從部分賬戶的創建日期來看,這次數據洩露事件似乎發生在2017年10月26日,目前尚不清楚數據因黑客攻擊或內部員工而洩露。
MyHeritage 公司表示,用戶賬戶仍是安全的,因為該公司對每個用戶實施唯一加密密鑰對密碼做了哈希處理。MyHeritage 並未存儲用戶密碼,而是存儲了每個密碼的單向哈希,每位用戶的哈希密鑰不同。自2017年10月26日以來,MyHeritage 並未發現任何賬戶遭受攻擊的活動。
符合歐盟的《通用數據保護條例》要求
鑑於歐盟的《通用數據保護條例》(GDPR)的嚴格要求,該公司在發現數據洩露當天就公開披露了此事。按照 GDPR 的要求,在歐盟開展業務的公司必須在發現事件的三天內進行披露。 該公司表示,已聯繫一家網絡安全公司幫助調查事件的嚴重程度,以確認黑客是否訪問了其它系統。
MyHeritage 將推出雙因素驗證機制
儘管雙因素驗證非常普遍,但 MyHeritage 公司尚未這樣進行保護,此次事件後該公司做出承諾將會推出雙因素驗證保護機制。這樣一來,即使黑客設法解密了哈希密碼,若無法獲取第二步的驗證碼仍無濟於事。
MyHeritage 建議用戶儘快更改密碼。這起事件是2018年發生的最大規模的數據洩露事件,也是繼2017年 Equifax 入侵事件以來發生的最大規模的洩露事件。
分享到:
閱讀更多 E安全 的文章
