MyHeritage - um site de genealogia especializado em árvores genealógicas e testes de DNA - está investigando uma grande falha de segurança depois que um pesquisador de segurança encontrou endereços de e-mail e senhas em hash pertencentes a 92 milhões de usuários. As informações no arquivo datavam de 27 de outubro de 2017, portanto, qualquer pessoa que registrasse uma conta antes dessa data poderia ser afetada.

Depois de descobrir os dados de e-mail em um arquivo de texto simples, o pesquisador alertou a empresa, que colocou sua própria equipe de segurança para trabalhar. Ele também contou com a ajuda de uma equipe independente de segurança cibernética

Os especialistas em segurança não encontraram nenhuma evidência de outros dados do usuário no servidor e, como as senhas foram criptografadas, apenas os endereços de e-mail eram legíveis. MyHeritage também notou que não há evidências de que os dados no servidor foram usados.

"O MyHeritage não armazena senhas de usuários, mas um hash unidirecional de cada senha, em que a chave hash difere para cada cliente", disse o site em um post no blog. "Isso significa que qualquer pessoa que tenha acesso às senhas com hash não possui as senhas reais."

Riscos Relativos

Outros dados, incluindo aqueles usados ​​para construir árvores genealógicas, são armazenados separadamente e não foram comprometidos, e não houve risco de roubo dos detalhes do cartão de crédito, pois o site processa pagamentos usando o PayPal exclusivamente.

Os endereços de e-mail são valiosos, e uma lista tão grande seria um ponto de partida útil para criminosos lançarem uma campanha de phishing..

Esse vazamento é particularmente embaraçoso porque sua descoberta ocorre imediatamente após a implementação do novo Regulamento Geral de Proteção de Dados (GDPR) da UE, que enfatiza que qualquer empresa que detenha informações pessoais deve evitar que caia em mãos erradas - informações que formam a base de sites como o MyHeritage.

O MyHeritage recomenda que todos os seus usuários alterem suas senhas apenas por precaução, e observa que estará atualizando para a autenticação de dois fatores em breve, permitindo que os usuários bloqueiem suas contas com mais firmeza - particularmente contra ataques de phishing.

  • O melhor gerenciador de senhas gratuito para proteger contas online

Via Engadget