MyHeritage zag diefstal miljoenen inlogs over het hoofd

Het Israëlische bedrijf maakt nu bekend dat een externe beveiligingsonderzoeker de gegevens onlangs ergens vond op een privéserver. Het gaat om het gebruikersbestand van iedereen die zich tot 26 oktober vorig jaar - de vermoedelijke dag van de hack - had ingeschreven bij de site. Het exacte aantal is 92.283.889 gebruikers. Hun wachtwoorden waren niet direct leesbaar, vanwege de hash die er op was toegepast.

MyHeritage zegt geen aanwijzingen te hebben dat de dieven de gestolen gegevens hebben gebruikt. Wachtwoorden worden volgens de organisatie niet opgeslagen, maar er wordt een eenzijdige hash van gemaakt, aan de hand waarvan de inloggegevens van de gebruiker kunnen worden gecontroleerd. Het bedrijf adviseert iedereen desondanks zijn wachtwoorden te veranderen en verwijst daarvoor naar een FAQ.

Geen DNA-gegevens ontvreemd

Wereldwijd hebben 96 miljoen mensen zich geregistreerd bij de site. Het bedrijf heeft ook een Nederlandse tak. Gebruikers kunnen bijvoorbeeld een DNA-monster opsturen voor analyse, iets wat 1,4 miljoen mensen hebben gedaan. Volgens MyHeritage worden deze gegevens apart opgeslagen en zijn ze niet bij de hack buitgemaakt. "We hebben geen reden om aan te nemen dat er inbreuk op die systemen is gepleegd", meldt het bedrijf in zijn verklaring over de maandenlange ongemerkte datadiefstal.

MyHeritage zet nu een onafhankelijk beveiligingsbedrijf in om uitgebreid forensisch onderzoek te doen en de omvang van de inbreuk vast te stellen. "Het beveiligingsbedrijf zal ons beoordelen en aanbevelingen doen voor de stappen die we kunnen ondernemen om een dergelijk incident in de toekomst te voorkomen." Daaronder bevindt zich in ieder geval de invoering van 2-factor authentication om inloggen op de genealogiesite beter te beveiligen.