Incidente de Ciberseguridad: Actualización del 10 de Junio

Comentarios0

Esta es una actualización con respecto a la filtración de datos que afectó a MyHeritage, de la que informamos por primera vez el 4 de junio, y que se actualizó aquí. En la brecha, un investigador de seguridad encontró un archivo con direcciones de correo electrónico y contraseñas hash (que en realidad no son contraseñas) de 92,3 millones de usuarios de MyHeritage en un servidor privado de Internet, quien lo denunció al CISO (Chief Information Security Officer) de MyHeritage. MyHeritage denunció inmediatamente la infracción y tomó medidas para hacer frente a la situación, que se describen en los enlaces del blog de arriba y se explican con más detalle en esta actualización.

A partir del 7 de junio, empezamos a enviar correos electrónicos individuales a nuestros usuarios para informarles sobre el incidente y pedirles que cambiaran su contraseña en MyHeritage, con el fin de estar protegidos. También recomendamos que cualquiera que utilice la misma contraseña en varios sitios web (esta es una práctica inadecuada), debe cambiar su contraseña en esos sitios también. Esta es una precaución de seguridad común; es más seguro tener una contraseña única en cada cuenta de servicio que utilice.

Recomendamos también activar la autenticación de dos factores en el correo electrónico dirigido a nuestros usuarios. Esta es una función importante para asegurar las cuentas en MyHeritage, que se publicó el 6 de junio. Cuando se activa, puede proteger su cuenta contra el acceso no autorizado, incluso en el caso de que otra persona conozca ya su contraseña. Con la autenticación de dos factores, puede designar un teléfono móvil y vincularlo a su cuenta proporcionando su número de teléfono a MyHeritage. Cada vez que se conecta a MyHeritage desde un nuevo ordenador, un tablet o un teléfono, en caso de que haya transcurrido un mes desde el último inicio de sesión, MyHeritage envía un código de verificación de seis dígitos como mensaje de texto (SMS) a su teléfono móvil y debe introducirlo en MyHeritage para completar el inicio de sesión correctamente. Para más detalles, y si necesita instrucciones para habilitarlo, consulte nuestro comunicado. Miles de nuestros usuarios ya han habilitado la autenticación de dos factores y están disfrutando de protección para sus cuentas, y esperamos que muy pronto se incorporen más.

Dado que estamos enviando una gran cantidad de emails sobre el incidente a millones de usuarios, esto llevará algún tiempo. Si eres usuario de MyHeritage y aún no has recibido el email, por favor ten paciencia, lo recibirás pronto.

El 5 de junio, iniciamos la expiración de todas las contraseñas en MyHeritage y ahora hemos completado este proceso. Cualquier persona que inicie sesión en MyHeritage con una contraseña caducada deberá establecer una nueva contraseña, un proceso que incluye el envío de un mensaje de correo electrónico a la dirección de correo electrónico del usuario que figura en el archivo, para garantizar que, incluso si la contraseña anterior se ha visto comprometida, nadie, excepto el usuario, podrá establecer una nueva contraseña y recuperar el acceso a la cuenta.

Estamos tomando medidas adicionales para reforzar aún más la seguridad de las cuentas de MyHeritage. Estos pasos pueden causar algunos inconvenientes a nuestros usuarios. Por ejemplo, los usuarios que han estado conectados al sitio web durante un largo período de tiempo, y que nunca han salido y vuelto a entrar, encontrarán que tienen que establecer una nueva contraseña y conectarse con más frecuencia. La seguridad adicional justifica las molestias.

Le recordamos que los usuarios de MyHeritage que tengan preguntas o inquietudes sobre este incidente pueden ponerse en contacto con nuestro equipo de asistencia al cliente en materia de seguridad por correo electrónico en privacy@myheritage.com o por teléfono a través del número gratuito (EE.UU.) +1 888 672 2875, disponible las 24 horas del día, los 7 días de la semana. Hemos reclutado 40 miembros adicionales de soporte a tiempo completo que se unirán a nuestro equipo de soporte las 24 horas del día, los 7 días de la semana, para ayudarnos a hacer frente a las crecientes necesidades de soporte al cliente de este incidente. Anticipamos que habrá tiempos de espera más largos en las líneas telefónicas. Si usted llama y se encuentra en una larga cola, por favor déjenos un mensaje de voz y le devolveremos la llamada tan pronto como sea posible. La mayoría de los usuarios que se han puesto en contacto con el servicio de asistencia han sido muy comprensivos con las medidas que hemos tomado para solucionar el problema y, en general, han solicitado ayuda con el proceso de establecer una nueva contraseña o de añadir la autenticación de dos factores, una ayuda que estamos encantados de ofrecer.

Resumen

Lamentamos lo que pasó. No son buenas noticias. Pero no ha habido evidencia que se haya filtrado algo más allá de las direcciones de correo electrónico y las contraseñas hash, que que no son contraseñas reales, y tampoco hay ninguna evidencia de acceso no autorizado a las cuentas de usuario y datos en MyHeritage. Los datos de ADN están protegidos por niveles adicionales de seguridad y no se almacenan en el mismo sistema que guarda las identidades de usuario. Un usuario puede descargar sus propios datos de ADN, pero el procedimiento para ello requiere no sólo la introducción de la contraseña, sino también la autorización a través del correo electrónico del usuario, por lo que no puede hacerlo ni siquiera alguien que conozca su contraseña. En nuestras estadísticas internas no se ha registrado ningún aumento de las descargas de datos de ADN durante el último año. Las anteriores contraseñas han caducado y ya no se pueden utilizar para acceder a las cuentas. La Autenticación de Doble Factor está ahora disponible para proteger aún más su cuenta. Esto no está disponible en ninguno de los otros sitios principales de ADN y genealogía.

En definitiva, esperamos que estas medidas demuestren aún más a nuestros usuarios nuestro compromiso con la privacidad y seguridad de sus datos, y confiamos en que este incidente llevará a MyHeritage a ser más seguro que nunca.

Agradecemos a nuestros usuarios su confianza y continuaremos manteniéndoles informados de la situación.

El equipo de MyHeritage

Deje un comentario

Su dirección de correo electrónico no será publicada