以前,雷锋网听过一个段子:“网贷公司一个客户发来感谢信,客户是个孤儿,分期买了个 3000 元的手机一直没还。网贷公司催收人员把他亲生父母给找到了。。。”
6 月 6 日,据外媒报道,一家消费级 DNA 检测公司丢了9230 万个用户数据,细思恐极,这这这。。。难道是不仅找到亲生父母,还可能了解自己祖宗十八代的节奏???
雷锋网编辑发现,原来,一位研究人员在 Myheritage 公司外的私有服务器上发现了该公司 9230 万个用户的邮箱地址和哈希密码。这样海量的数据被存储在一个文件中,据专家分析,这些数据真实可信而且确实来自 MyHeritage。
虚惊一场,还好不是 DNA 信息。
但是,事情也好不到哪里去。MyHeritage 提供家族历史调查服务,能通过 DNA 分析,帮用户重建族谱。该公司网站现在有约 9600 万注册用户,接受过基因检测服务的用户有 140 万人。
当然,这事也不是 MyHeritage 的研究员自己发现的,而是某个研究员发现之后赶紧通知他们的。
据 MyHeritage 的声明显示,美国东部时间6 月 4 日下午 1 时,MyHeritage 公司首席信息安全官收到了一条来自一位安全研究者的信息,他表示自己发现了一个被命名为“myheritage”的文件,包含大量邮箱地址和哈希密码,这些数据存在公司外的一个私有服务器上。
MyHeritage 吃了一惊,派出信息安全团队分析安全研究者发来的文件,随即确认,这些内容——这些信息确实来自 MyHeritage,它包含了 2017 年 10 月 26 日之前注册用户的邮箱地址和哈希密码。
好在,在那台私有服务器上,安全专家并没有发现其他相关信息。
这些信息为什么会丢?
MyHeritage 澄清称,它们并没有用纯文本的方式存储用户密码,但并未解释用来保护这些密码的机制。他们称,一直以来,MyHeritage 都在用第三方服务处理账单信息,至于用户的 DNA 数据和其他敏感数据都存在更为安全的隔离系统中。
这事的结局有点“套路”——该公司称,它们并没有发现这些泄露数据遭到滥用的情况。“从 2017 年 10 月 26 日到现在,我们还没发现任何 MyHeritage 账号被黑的迹象。”MyHeritage 在声明中写道。“我们相信,遭黑的只是用户邮箱地址,其他 MyHeritage 系统并没有被黑客入侵。”
当然,说是这么说,MyHeritage 还是有点怕怕的。它表示,自己专门组建了信息安全事件快速反应小组,会雇佣网络安全公司对该事件进行彻查。同时,MyHeritage 还表示,未来计划引入两步验证机制来提升用户数据安全。
不过,呵呵呵。。。MyHeritage 在声明最后还是发出了一则提醒——用户最好抓紧时间修改密码。
雷锋网Via. Security Affairs