DNA 检测公司 9230 万数据外泄，细思恐极，祖宗十八代要被人知晓？

以前，雷锋网听过一个段子：“网贷公司一个客户发来感谢信，客户是个孤儿，分期买了个 3000 元的手机一直没还。网贷公司催收人员把他亲生父母给找到了。。。”

6 月 6 日，据外媒报道，一家消费级 DNA 检测公司丢了9230 万个用户数据，细思恐极，这这这。。。难道是不仅找到亲生父母，还可能了解自己祖宗十八代的节奏？？？

雷锋网编辑发现，原来，一位研究人员在 Myheritage 公司外的私有服务器上发现了该公司 9230 万个用户的邮箱地址和哈希密码。这样海量的数据被存储在一个文件中，据专家分析，这些数据真实可信而且确实来自 MyHeritage。

虚惊一场，还好不是 DNA 信息。

但是，事情也好不到哪里去。MyHeritage 提供家族历史调查服务，能通过 DNA 分析，帮用户重建族谱。该公司网站现在有约 9600 万注册用户，接受过基因检测服务的用户有 140 万人。

当然，这事也不是 MyHeritage 的研究员自己发现的，而是某个研究员发现之后赶紧通知他们的。

据 MyHeritage 的声明显示，美国东部时间6 月 4 日下午 1 时，MyHeritage 公司首席信息安全官收到了一条来自一位安全研究者的信息，他表示自己发现了一个被命名为“myheritage”的文件，包含大量邮箱地址和哈希密码，这些数据存在公司外的一个私有服务器上。

MyHeritage 吃了一惊，派出信息安全团队分析安全研究者发来的文件，随即确认，这些内容——这些信息确实来自 MyHeritage，它包含了 2017 年 10 月 26 日之前注册用户的邮箱地址和哈希密码。

好在，在那台私有服务器上，安全专家并没有发现其他相关信息。

这些信息为什么会丢？

MyHeritage 澄清称，它们并没有用纯文本的方式存储用户密码，但并未解释用来保护这些密码的机制。他们称，一直以来，MyHeritage 都在用第三方服务处理账单信息，至于用户的 DNA 数据和其他敏感数据都存在更为安全的隔离系统中。

这事的结局有点“套路”——该公司称，它们并没有发现这些泄露数据遭到滥用的情况。“从 2017 年 10 月 26 日到现在，我们还没发现任何 MyHeritage 账号被黑的迹象。”MyHeritage 在声明中写道。“我们相信，遭黑的只是用户邮箱地址，其他 MyHeritage 系统并没有被黑客入侵。”

当然，说是这么说，MyHeritage 还是有点怕怕的。它表示，自己专门组建了信息安全事件快速反应小组，会雇佣网络安全公司对该事件进行彻查。同时，MyHeritage 还表示，未来计划引入两步验证机制来提升用户数据安全。

不过，呵呵呵。。。MyHeritage 在声明最后还是发出了一则提醒——用户最好抓紧时间修改密码。

雷锋网Via.Security Affairs