מיי הריטג' נפרץ – פרטיהם של 92 מיליון משתמשים דלפו

אתר מיי הריטג' (MyHeritage), המציע שירותי גניאלוגיה משפחתית ובדיקות DNA, הודיע על פרצת אבטחה שבאמצעותה השיג תוקף את פרטי החשבונות של יותר מ-92 מיליון משתמשיו. הפרטים שנחשפו אינם מכילים מידע רגיש אודות הלקוחות, מלבד כתובות הדוא"ל ו-"סיסמאות האש" של מי שהצטרפו לשירות עד סוף אוקטובר 2017.

בהודעה שפרסמה באתר האינטרנט שלה הודיעה החברה הישראלית שמנהלת את האתר כי דבר הפריצה נודע לה ביום ב', ואמרה כי דיווחה על כך מיד, וזאת בשל תקנות ה-GDPR של האיחוד האירופי (EU), המחייבות את החברות הפועלות באיחוד לחשוף כל תקרית ביטחונית בתוך שלושה ימים מרגע שלמדה אודותיה.

הפריצה במיי הריטג' הוא הפרת הנתונים הגדולה ביותר שנחשפה עד כה ב-2018, והדליפה הגדולה ביותר מאז הפריצה לסוכנות דירוג האשראי אקוויפקס (Equifax), שאירעה בשנה שעברה.

בהתבסס על תאריכי היצירה של חלק מהחשבונות, נראה כי הפריצה התרחשה ב-26 באוקטובר בשנת 2017. לא ברור אם ההפרה היא תוצאה של התקפת האקרים או פעולה של עובד שמוכר את נתוני החברה.

בדיקות ה-DNA ופרטי אמצעי התשלום נותרו חסויים

את האירוע החמור גילה חוקר אבטחה חיצוני, שמצא בשרת של צד שלישי ארכיון בשם MyHeritage, המכיל את נתוניהם האישיים של 92,283,889 משתמשי האתר. מידע על כרטיסי האשראי או אמצעי תשלום, ותוצאות בדיקות ה-DNA שעליהן אמון האתר, לא הופר. מיי הריטג' הסבירה שהסיבה לכך היא שהחברה משתמשת בעיבודי תשלומים של צד שלישי בעבור פעולות פיננסיות, כלומר שנתונים הקשורים לאמצעי התשלום מעולם לא היו מאוחסנים במערכות שלה, בעוד שתוצאות בדיקות ה-DNA נשמרו בשרתים נפרדים מאלה שמנהלים את חשבונות משתמשים.

החברה טענת כי חשבונות המשתמשים בטוחים, מכיוון שהסיסמאות טופלו באמצעות פונקציית האש (hash) עם מפתח הצפנה ייחודי לכל משתמש, כך על פי פוסט בבלוג שהעלה סמנכ"ל אבטחת המידע של מיי הריטג', עומר דויטש.

מאז אוקטובר, 2017, שהוא כאמור מועד הפריצה המשוער, "לא ראינו שום פעילות המציינת שחשבונות מיי הריטג' נפרצו", כך הודיעה מיי הריטג' בהצהרה הרשמית שלה.

החברה הישראלית אמרה כי פנתה לחברת אבטחה בכדי שזו תסייע לה לחקור את חומרת הפריצה ואת המערכות האחרות שאליהן עלול היה ההאקר לגשת. בפוסט שלו הבטיח דויטש גם להוסיף תכונת אימות של שני גורמים (2FA) בעבור חשבונות משתמשים, כך שגם אם האקר יצליח לפענח את סיסמאות ההאש, אלה יהיו חסרות תועלת ללא הקוד הנדרש לשלב השני של האימות.

מיי הריטג' הרשימה את קהילת הסייבר עם הודעתה על הפריצה מיד כשזו התגלתה, במיוחד בהשוואה לדין וחשבון שסיפקה למשל אקוויפקס על ההפרה הגדולה שלה, שבה נחשף מידע רגיש של כמחצית מאוכלוסיית ארצות הברית, רק שישה שבועות אחרי הפרת הנתונים ההרסנית; או אל המקרה של לינקדאין (LinkedIn), שלקח לה ארבע שנים לספר לאנשים כי יותר מ-100 מיליון כתובות דוא"ל וסיסמאות מוצפנות נגנבו משרתיה; או עם הקומדיה של הטעויות שהיו כרוכות באירועים הדומים ביאהו (Yahoo), אשר נדרשה לשנים רק כדי להבחין בשני אירועי הסייבר הענקיים, שבהם נחשפו ונגנבו נתונים של 3.5 מיליארד משתמשים.

על אף העובדה שההפרה לא כוללת מידע רגיש, בכל זאת מומלץ למשתמשי האתר, על מנת לגונן על פרטיותם, לשנות את הסיסמאות שלהם בהקדם האפשרי.