Cybersicherheitsvorfall: Update vom 10. Juni

Cybersicherheitsvorfall: Update vom 10. Juni

Kommentare2

Heute haben wir ein Update für euch in Bezug auf die Datenverletzung, über die wir am 4. Juni erstmals berichtet, und auch hier aktualisiert haben. Bei der Sicherheitsverletzung wurde eine Datei mit E-Mail-Adressen und gehashten Passwörtern von 92,3 Millionen MyHeritage-Nutzern von einem Sicherheitsforscher auf einem privaten Server im Internet gefunden, der sie an den CISO von MyHeritage (Chief Information Security Officer) gemeldet hat. MyHeritage hat sofort den Verstoß gemeldet und Maßnahmen ergriffen, um die Situation zu beheben, die in den obigen Blog-Post-Links beschrieben wurde und in diesem Update weiterhin erläutert wird.

Seit dem 7. Juni haben wir begonnen, unsere Nutzer einzeln per E-Mail zu kontaktieren, um sie über diesen Vorfall zu informieren und sie zu bitten, ihr Passwort auf MyHeritage sicherheitshalber zu ändern. Wir empfehlen außerdem, dass jeder, der dasselbe Passwort für mehrere Websites verwendet (dies ist eine schlechte Vorgehensweise), sein Passwort auch auf diesen Websites zu ändern. Das ist eine allgemeine Sicherheitsvorkehrung! Es ist sicherer, ein eindeutiges Passwort für jeden von euch verwendeten Dienst zu haben.

In der E-Mail an unsere Nutzer empfehlen wir außerdem die Aktivierung der Zwei-Faktoren-Authentifizierung. Das ist eine wichtige Maßnahme für die Sicherung von Accounts auf MyHeritage, die wir am 6. Juni veröffentlicht haben. Wenn diese Option aktiviert ist, kann sie euer Konto gegen unbefugten Zugriff schützen, selbst wenn jemand anderes euer Passwort kennt. Mit der Zwei-Faktoren-Authentifizierung bestimmt ihr ein Mobiltelefon und verknüpft es mit eurem Konto, indem ihr MyHeritage mit seiner Nummer bereitstellt. Wenn ihr euch dann von einem neuen Computer, Tablet oder Smartphone aus auf MyHeritage anmeldet oder wenn seit eurer letzten Anmeldung ein Monat vergangen ist, sendet MyHeritage einen sechsstelligen Bestätigungscode als Textnachricht an euer Mobiltelefon. Ihr müsst diesen Code dann auf  MyHeritage eingeben, um die Anmeldung erfolgreich abzuschließen. Weitere Einzelheiten und Anweisungen zur Aktivierung findet ihr in unserer Ankündigung. Tausende unserer Nutzer haben bereits die Zwei-Faktoren-Authentifizierung aktiviert. Wir hoffen, dass bald weitere dazukommen.

Da wir eine große Anzahl von Nutzern per E-Mail über den Vorfall informieren, wird dies einige Zeit in Anspruch nehmen. Wenn ihr ein MyHeritage-Nutzer seid und die E-Mail noch nicht erhalten habt, habt bitte etwas Geduld.

Am 5. Juni haben wir begonnen alle Passwörter auf MyHeritage ablaufen zu lassen. Dies ist nun abgeschlossen. Jeder, der sich mit einem abgelaufenen Passwort auf MyHeritage anmeldet, muss ein neues Passwort festlegen, das eine an die E-Mail-Adresse des Nutzers gesendete E-Mail enthält, um sicherzustellen, dass niemand außer dem Nutzer ein neues Kennwort festlegen und den Zugriff auf das Konto wiederherstellen kann – selbst wenn das vorherige Kennwort kompromittiert wurde.

Wir unternehmen zusätzliche Schritte, um die Sicherheit von MyHeritage-Accounts weiter zu erhöhen. Diese Schritte können zu Unannehmlichkeiten für unsere Nutzer führen. Zum Beispiel werden Nutzer, die lange auf der Website angemeldet sind und sich nie abgemeldet und wieder eingeloggt haben, feststellen, dass sie ein neues Passwort festlegen müssen und sich häufiger anmelden müssen. Die zusätzliche Sicherheit ist die Unannehmlichkeit wert.

Zur Erinnerung: MyHeritage-Nutzer, die Fragen oder Bedenken zu diesem Vorfall haben, können sich gerne an unser Sicherheits-Kundendienstteam per E-Mail unter privacy@myheritage.com oder telefonisch unter der gebührenfreien Telefonnummer (DE) 0800 589 3922 wenden. Wir haben 40 zusätzliche Vollzeit-Supportmitarbeiter rekrutiert, die morgen unserem 24/7 Support-Team beitreten werden, um uns bei der Bewältigung des erhöhten Kunden-Support-Bedarfs für diesen Vorfall zu helfen. Wir gehen davon aus, dass es längere Wartezeiten in den Telefonleitungen geben wird. Wenn ihr anruft und euch in einer langen Warteschlange befindet, hinterlasst uns bitte eine Nachricht auf dem AB und wir rufen euch so schnell wie möglich zurück. Die Mehrheit der Nutzer, die sich bisher an den Support gewandt haben hauptsächlich Unterstützung bei der Einrichtung eines neuen Passworts oder der Einführung der Zwei-Faktoren-Authentifizierung gebraucht – Hilfe, die wir euch gerne anbieten.

Zusammenfassung

Wir entschuldigen uns für diese Verletzung. Es sind schlechte Nachrichten. Es gab jedoch keinen Hinweis darauf, dass irgendetwas über die E-Mail-Adressen und die gehashten Passwörter, die keine echten Passwörter sind, oder Beweis für einen unbefugten Zugriff auf Nutzerkonten und Daten auf MyHeritage. DNA-Daten sind durch zusätzliche Sicherheitsebenen geschützt und befinden sich nicht auf demselben System, auf dem Nutzeranmeldeinformationen gespeichert sind. Ein Nutzer kann seine eigenen DNA-Daten herunterladen, aber das Verfahren dafür erfordert nicht nur die Passworteingabe, sondern auch die Autorisierung über das Postfach des Nutzers, so dass dies nicht einmal von jemandem ausgeführt werden kann, der euer Passwort kennt. Unsere internen Statistiken haben im letzten Jahr keine Zunahme der Downloads von DNA-Daten gezeigt. Die früheren Passwörter sind abgelaufen und können nicht mehr für den Zugriff auf Konten verwendet werden. Die Zwei-Faktoren-Authentifizierung ist jetzt verfügbar, um euer Konto noch weiter zu sichern. Dies ist auf keiner der anderen großen DNA- und Genealogie-Websites verfügbar.

Zusammenfassend hoffen wir, dass diese Maßnahmen unseren Nutzern unser Engagement für die Vertraulichkeit und Sicherheit ihrer Daten demonstriert. Wir sind zuversichtlich, dass dieser Vorfall MyHeritage dazu bringen wird, sicherer zu werden als je zuvor.

Wir danken unseren Nutzern für ihr Vertrauen und werden euch weiterhin über die Situation auf dem Laufenden halten.

Das MyHeritage-Team

Kommentar hinterlassen

Die E-Mail-Adresse ist privat und wird nicht angezeigt

  • Harald Tilgner


    12. Juni 2018

    Tut mir leid, aber ich habe niemals ein neues “password” angefragt. Hören sie bitte auf darauf zu bestehen ein neues “password” von mir zu erhalten. ICH bestimme ob oder wann ich ein neues “password” haben will. Mir ist es einfach zuviel verlangt, dass ich immer neue „passwords“ erfinden und benutzen muss, nur weil MyHeritage es verlangt. Ich war mit der Einrichtung bis jetzt zufrieden und will garnichts mehr. Wenn ich aber jetzt gezwungen bin noch mehr tun zu müssen nur des Pivilegs willen eine Familienseite zu haben, dann möchte ich mich allen Ernstes davon trennen, so leid es mir tut.

    • Silvia


      13. Juni 2018

      Lieber Herr Tilgner,

      vielen Dank für Ihre Nachricht. Wir haben mittlerweile in 4 verschiedenen Blogbeiträgen erklärt was der Grund für das Setzen eines neuen Passwortes ist. Die Sicherheit Ihrer Daten geht vor und darum gibt es keine andere Möglichkeit auf MyHeritage zu arbeiten, als erstmal ein neues Passwort zu setzen. Der Prozess ist ziemlich einfach und in 1 Minute erledigt. Ich bitte Sie daher sich umgehend ein neues Passwort zu setzen, so dass Sie weiterhin an Ihrem Stammbaum arbeiten können. Sollten Sie Probleme damit haben, melden Sie sich gerne erneut. VG