DNA 检测公司 MyHeritage 数据遭泄露 9200万账户受影响

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

家族基因和DNA检测网站MyHeritage周一表示服务遭攻击，攻击者盗走超过9200万名用户的账户详情。

MyHeritage 公司在网站发布声明称，在周一知悉此事。一名研究人员在第三方服务器上找到一份包含 92,283,889 名 MyHeritage 用户的个人详情文档。

仅邮件和哈希密码遭暴露

这份文档中只包含邮件和哈希密码，并不包含支付卡详情或 DNA 测试结果。MyHeritage 公司表示通过第三方付款处理器开展金融操作，也就是说并未将支付数据存储在系统上，而 DNA 测试结果存储在不同于管理用户账户的其它服务器上。

从某些账户的创建日期来看，这次数据泄露事件似乎发生在2017年10月26日。目前尚不清楚数据是遭黑客攻击而泄露的还是因为内部恶意员工出售泄露的。

MyHeritage 公司表示，用户账户是安全的，因为密码是通过基于每个用户的唯一加密密钥进行哈希的。公司表示，“MyHeritage 并未存储用户密码，而是存储了每个密码的单向哈希，每个哈希密钥对于每个客户而言都是不同的。自从2017年10月26日起，我们并未发现任何账户遭攻陷的活动。”

迫于欧盟的 GDPR（《通用数据保护条例》）要求，该公司在发现数据遭泄露的同一天对外披露。该法规要求在欧盟开展业务的公司必须在发现安全事件的三天内予以披露。

该公司表示已经请一家网络安全公司帮助调查事件的严重程度以及其它可能遭黑客访问的系统。

将推出双因素验证机制

MyHeritage 公司还承诺为用户账户推出双因素验证保护机制，这样即使黑客设法解密了哈希密码，那么如果没有第二步的验证码也无济于事。

MyHeritage 用户应尽快更改密码。这起事件是今年发生的最大规模的数据泄露事件，也是继去年 Equifax 入侵事件以来发生的最大规模的泄露事件。

https://www.bleepingcomputer.com/news/security/myheritage-genealogy-site-announces-mega-breach-affecting-92-million-accounts/