Declaración de MyHeritage sobre incidente de ciberseguridad

Comentarios0

Hoy, 4 de junio de 2018, aproximadamente a las 13:00 horas EST, el Jefe de Seguridad de la Información de MyHeritage recibió un mensaje de un investigador de seguridad en el que se le informaba de que había encontrado un archivo llamado myheritage que contenía direcciones de correo electrónico y contraseñas cifradas, en un servidor privado fuera de MyHeritage. Nuestro equipo de Seguridad de la Información recibió el archivo del investigador de seguridad, lo revisó y confirmó que su contenido procedía de MyHeritage e incluía todas las direcciones de correo electrónico de los usuarios inscritos en MyHeritage hasta el 26 de octubre de 2017, así como sus contraseñas cifradas.

Inmediatamente después de recibir el expediente, el equipo de seguridad de la información de MyHeritage analizó el expediente y comenzó una investigación para determinar cómo se habían obtenido sus contenidos e identificar cualquier posible explotación del sistema MyHeritage. Determinamos que el archivo era legítimo e incluimos las direcciones de correo electrónico y las contraseñas hash de 92.283.889 usuarios que se habían suscrito a MyHeritage hasta el 26 de octubre de 2017, fecha en la que se produjo dicho incumplimiento. MyHeritage no almacena contraseñas de usuario, sino únicamente una copia de seguridad para cada contraseña, en la que la clave de seguridad difiere para cada cliente. Esto significa que cualquiera que tenga acceso a las contraseñas cifradas no tiene las contraseñas reales.

El inspector de seguridad informó de que no se había encontrado ningún otro dato relacionado con MyHeritage en el servidor privado. No ha habido pruebas de que los datos del archivo hayan sido utilizados alguna vez por los responsables. Desde el 26 de octubre de 2017 (fecha de la infracción) y hasta la fecha no hemos visto ninguna actividad que indique que las cuentas de MyHeritage hayan sido comprometidas.

Creemos que la intromisión se limita a las direcciones de correo electrónico de los usuarios. No tenemos ninguna razón para creer que otros sistemas de MyHeritage se hayan visto comprometidos. Por ejemplo, la información de la tarjeta de crédito no se almacena en MyHeritage para empezar, sino sólo en los proveedores de facturación de confianza de terceros (por ejemplo, BlueSnap, PayPal) utilizados por MyHeritage. MyHeritage almacena otros tipos de datos confidenciales como árboles genealógicos y datos de ADN en sistemas independientes de los que almacenan las direcciones de correo electrónico, e incluyen capas de seguridad añadidas. No tenemos razones para creer que esos sistemas hayan sido comprometidos.

Pasos que hemos tomado

Inmediatamente después de enterarnos del incidente, creamos un Equipo de Respuesta a Incidentes de Seguridad de Información para investigar a fondo la situación. También estamos tomando medidas inmediatas para contratar a una empresa líder e independiente de ciberseguridad para que lleve a cabo exámenes forenses exhaustivos a fin de determinar el alcance de la intrusión, y para que realice una evaluación y formule recomendaciones sobre las medidas que pueden adoptarse para ayudar a evitar que ocurra un incidente de este tipo en el futuro.

Estamos tomando medidas para informar a las autoridades pertinentes, incluso según GDPR (Ley de Protección de Datos).

Aceleraremos nuestro trabajo sobre la próxima función de autenticación de dos fases que pondremos a disposición de todos los usuarios de MyHeritage en breve. Esto permitirá a los usuarios interesados en aprovecharlo, autenticarse utilizando un dispositivo móvil además de una contraseña, lo que endurecerá aún más sus cuentas MyHeritage contra el acceso ilegítimo.

Establecimos un equipo de soporte al cliente de seguridad las 24 horas del día, los 7 días de la semana para ayudar a los clientes que tengan inquietudes o preguntas sobre el incidente.

Qué deben hacer nuestros usuarios

Los usuarios de MyHeritage que tengan preguntas o inquietudes sobre este incidente pueden ponerse en contacto con nuestro equipo de asistencia al cliente de seguridad por correo electrónico en privacy@myheritage.com o por teléfono a través del número gratuito (EE.UU.) +1 888 672 2875, disponible las 24 horas del día, los 7 días de la semana.

A todos los usuarios registrados de MyHeritage, les recomendamos que, para mayor seguridad, cambien su contraseña en MyHeritage. El procedimiento para hacerlo se describe en el artículo de preguntas frecuentes de MyHeritage. Una vez que MyHeritage publique la próxima función de autenticación de dos fases, recomendamos a todos nuestros usuarios que la apliquen.

Por ahora, no hay otras acciones que los usuarios de MyHeritage deban tomar como resultado de este incidente. Sin embargo, siempre recomendamos que se tome el tiempo para evaluar sus prácticas de seguridad. Por favor, evite usar la misma contraseña para múltiples servicios o sitios web. Es una buena práctica usar contraseñas más seguras y cambiarlas con frecuencia.

Avanzando hacia el futuro

Como siempre, su privacidad y la seguridad de sus datos son nuestra mayor prioridad. Evaluamos continuamente nuestros procedimientos y políticas y buscamos nuevas formas de mejorar nuestro enfoque de la seguridad. Entendemos la importancia de nuestro papel como custodios de su información y trabajamos cada día para ganarnos su confianza.

Gracias por su comprensión.

Contacto

Omer Deutsch
Director de Seguridad de Información, MyHeritage
Email: dpo@myheritage.com

Deje un comentario

Su dirección de correo electrónico no será publicada