Danke für die Info und ihre raschen Benachrichtigungen der User und ihre Aktivitäten


Vorgestern haben wir von einen Cybersicherheitsvorfall auf MyHeritage berichtet, bei dem die E-Mail-Adressen und gehashten Passwörter von 92,3 Millionen MyHeritage-Nutzern an einen privaten Server außerhalb von MyHeritage weitergegeben wurden.
Unser Sicherheitsteam ist noch dabei diesen Vorfall zu untersuchen und noch haben wir kein Update bezüglich der Quelle des Lecks. Wir haben keinen Missbrauch von Accounts auf MyHeritage oder Beweise dafür gefunden, dass die durchgesickerten Informationen von böswilligen Akteuren verwendet wurden.
Der Vorfall wurde uns vorgestern, am 4. Juni 2018, von einem Sicherheitsforscher um etwa 13:00 Uhr EST gemeldet, also um 20:00 Uhr in unserem Hauptsitz in Israel. Wir haben uns versammelt, um den Vorfall zu untersuchen. Haben genügend Details gesammelt, um sie öffentlich bekannt geben zu können, und dies innerhalb von 8 Stunden, nachdem wir davon erfahren hatten.
Von dem Moment an, als wir davon erfahren haben, haben wir buchstäblich rund um die Uhr gearbeitet, um weitere Schritte zum Schutz unserer Nutzer zu unternehmen, und wollten euch zwei Tage nach unserem ersten Beitrag über unsere Fortschritte auf dem Laufenden halten.
Obwohl keine Passwörter durchgesickert sind, sondern nur Hash-Versionen der Passwörter, haben wir unsere Nutzer ermutigt, ihr Passwort zu ändern, und viele haben es bereits getan. Um jedoch die Sicherheit unserer Nutzer zu maximieren, haben wir damit begonnen, ALLE Nutzerkennwörter auf MyHeritage verfallen zu lassen. Dieser Prozess wird in den nächsten Tagen stattfinden. Es umfasst alle 92,3 Millionen betroffenen Nutzerkonten sowie alle 4 Millionen zusätzliche Konten, die sich nach dem Sperrdatum vom 26. Oktober 2017 bei MyHeritage angemeldet haben. Wir haben die Kennwörter von mehr als der Hälfte der Nutzerkonten auf MyHeritage bereits ablaufen lassen. Nutzer, deren Kennwörter abgelaufen sind, müssen ein neues Kennwort setzen und können erst dann auf ihr Konto und ihre Daten auf MyHeritage zugreifen. Dieser Vorgang kann nur über eine E-Mail an die E-Mail-Adresse des MyHeritage-Kontos durchgeführt werden. Dadurch wird es für unbefugte Personen, sogar für Personen, die das Passwort des Nutzers kennen, schwieriger, auf das Konto zuzugreifen. Wir planen, den Verfall aller Passwörter in den nächsten Tagen abzuschließen. Ab diesem Zeitpunkt sind alle betroffenen Passwörter nicht länger für den Zugriff auf Konten und Daten auf MyHeritage verfügbar. Beachtet, dass andere Websites und Dienste, die MyHeritage gehören und von diesen betrieben werden, wie Geni.com und Legacy Family Tree, von dem Vorfall nicht betroffen sind.
Wie bereits erwähnt, sind wir dabei die Arbeit am Hinzufügen der Zwei-Faktor-Authentifizierung zu MyHeritage zu beschleunigen und werden darüber berichten, sobald diese aktiv ist. Es wird dringend empfohlen, dieses zu verwenden, um die Sicherheit zu erhöhen.
Nutzer, die Schwierigkeiten haben, ihr Passwort zu ändern oder andere Fragen oder Bedenken haben, wenden sich bitte per E-Mail an unser Sicherheitsteam über privacy@myheritage.com oder per Telefon unter der gebührenfreien Telefonnummer (USA) +1 888 672 2875, die rund um die Uhr verfügbar ist.
Wir glauben, dass das Eindringen auf die E-Mail-Adressen der Nutzer beschränkt ist. Wir haben keinen Grund zur Annahme, dass andere MyHeritage-Systeme kompromittiert wurden. Beispielsweise werden Kreditkarteninformationen zunächst nicht auf MyHeritage gespeichert, sondern nur bei vertrauenswürdigen, von MyHeritage verwendeten Dritt-Abrechnungsanbietern. Andere Arten von sensiblen Daten, wie Stammbäume und DNA-Daten, werden von MyHeritage auf getrennten Systemen gespeichert, getrennt von denen, die die E-Mail-Adressen speichern, und sie enthalten zusätzliche Sicherheitsebenen. Es gibt keinen Grund für uns daran zu glauben, dass diese Systeme kompromittiert wurden.
Wir haben den DSGVO-Meldeprozess bei den Behörden abgeschlossen.
Wir bereiten uns darauf vor, diesen Vorfall den Nutzern einzeln per E-Mail mitzuteilen, ein Vorgang, der aufgrund der großen Anzahl betroffener Nutzer einige Zeit in Anspruch nehmen wird.
Auch hier ist es für uns wichtig zu betonen, dass eure Privatsphäre und die Sicherheit eurer Daten stets höchste Priorität haben. Wir werden euch auch in den nächsten Tagen auf dem Laufenden halten.
Danke für euer Verständnis,
das MyHeritage-Team
Kontakt
Omer Deutsch
Chief Information Security Officer, MyHeritage
E-Mail: dpo@myheritage.com
Albrecht Götsch
11. Juni 2018
Danke für die INFO und bitte weiterhin um einen sicheren Kontakt zu MY Heritage