0
以前,雷鋒網聽過一個段子:“網貸公司一個客戶發來感謝信,客戶是個孤兒,分期買了個 3000 元的手機一直沒還。網貸公司催收人員把他親生父母給找到了。。。”
6 月 6 日,據外媒報道,一家消費級 DNA 檢測公司丟了9230 萬個用戶數據,細思恐極,這這這。。。難道是不僅找到親生父母,還可能了解自己祖宗十八代的節奏???
雷鋒網編輯發現,原來,一位研究人員在 Myheritage 公司外的私有服務器上發現了該公司 9230 萬個用戶的郵箱地址和哈希密碼。這樣海量的數據被存儲在一個文件中,據專家分析,這些數據真實可信而且確實來自 MyHeritage。
虛驚一場,還好不是 DNA 信息。
但是,事情也好不到哪里去。MyHeritage 提供家族歷史調查服務,能通過 DNA 分析,幫用戶重建族譜。該公司網站現在有約 9600 萬注冊用戶,接受過基因檢測服務的用戶有 140 萬人。
當然,這事也不是 MyHeritage 的研究員自己發現的,而是某個研究員發現之后趕緊通知他們的。
據 MyHeritage 的聲明顯示,美國東部時間6 月 4 日下午 1 時,MyHeritage 公司首席信息安全官收到了一條來自一位安全研究者的信息,他表示自己發現了一個被命名為“myheritage”的文件,包含大量郵箱地址和哈希密碼,這些數據存在公司外的一個私有服務器上。
MyHeritage 吃了一驚,派出信息安全團隊分析安全研究者發來的文件,隨即確認,這些內容——這些信息確實來自 MyHeritage,它包含了 2017 年 10 月 26 日之前注冊用戶的郵箱地址和哈希密碼。
好在,在那臺私有服務器上,安全專家并沒有發現其他相關信息。
這些信息為什么會丟?
MyHeritage 澄清稱,它們并沒有用純文本的方式存儲用戶密碼,但并未解釋用來保護這些密碼的機制。他們稱,一直以來,MyHeritage 都在用第三方服務處理賬單信息,至于用戶的 DNA 數據和其他敏感數據都存在更為安全的隔離系統中。
這事的結局有點“套路”——該公司稱,它們并沒有發現這些泄露數據遭到濫用的情況。“從 2017 年 10 月 26 日到現在,我們還沒發現任何 MyHeritage 賬號被黑的跡象。”MyHeritage 在聲明中寫道。“我們相信,遭黑的只是用戶郵箱地址,其他 MyHeritage 系統并沒有被黑客入侵。”
當然,說是這么說,MyHeritage 還是有點怕怕的。它表示,自己專門組建了信息安全事件快速反應小組,會雇傭網絡安全公司對該事件進行徹查。同時,MyHeritage 還表示,未來計劃引入兩步驗證機制來提升用戶數據安全。
不過,呵呵呵。。。MyHeritage 在聲明最后還是發出了一則提醒——用戶最好抓緊時間修改密碼。
雷鋒網Via. Security Affairs
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
