92 milioni di account del più grande servizio di test del DNA sono stati violati

Se vi siete mai iscritti a MyHeritage per scoprire le vostre vere origini, occhio.
Immagine: MyHeritage 

Quando ti iscrivi a un sito fatto per gestire informazioni sensibili, magari un portale medico o un social network, il minimo che ti aspetti, probabilmente, è che quel sito non perda il controllo sui dati dei suoi utenti. Sfortunatamente per i clienti di MyHeritage — un servizio di genealogia e test del DNA —, un ricercatore è riuscito a risalire ai dettagli di 92 milioni di account legati all'azienda e conservati su un server, stando a un annuncio pubblicato dalla stessa MyHeritage.

Pubblicità

I dati appartengono agli utenti che hanno effettuato l'iscrizione a MyHeritage entro il 26 ottobre 2017 compreso — la data del breach — specifica l'annuncio.

Gli utenti dell'azienda con sede a Israele possono creare alberi genealogici e setacciare documenti e registri storici per cercare di risalire ai propri antenati. A gennaio 2017, i media israeliani hanno scritto che l'aziende aveva 35 milioni di alberi genealogici sul suo sito.

In totale, il breach ha colpito 92.283.889 utenti, stando a quanto dichiarato da MyHeritage.

Lunedì scorso, MyHeritage ha detto che il capo della sicurezza informatica dell'azienda avrebbe "ricevuto un messaggio da un ricercatore in sicurezza che aveva scoperto un file con sigla myheritage contenente indirizzi email e password con hash, su un server privato esterno a MyHeritage," si legge nell'annuncio. Gli hash sono rappresentazioni crittografiche delle password, che permettono alle aziende di non dover salvare le password vere e proprio, ma, a seconda dell'algoritmo usato, un hacker potrebbe comunque riuscire a crackarle.

Il post di MyHeritage sottolinea che "le chiavi hash sono diverse per ogni cliente," lasciando intendere che l'azienda stia utilizzando un cosiddetto salt; un valore in più, in genere unico, che viene aggiunto alla password prima dell'hash per far sì che l'hash stesso sia più resistente a manomissioni eventuali.

Sul sito, MyHeritage dichiara: ”La privacy e la sicurezza dei tuoi dati sono importanti per noi tanto quanto lo sono per te. Abbiamo fatto degli investimenti significativi per garantire che i tuoi account e i tuoi dati personali siano protetti da più livelli di crittografia. Tutti i test vengono eseguiti nel nostro laboratorio leader mondiale certificato dalla CLIA, e accreditato dal CAP negli Stati Uniti.”

MyHeritage afferma di non avere motivo di credere che siano stato compromessi altri dati degli utenti. I dati delle carte di credito dei clienti vengono elaborati da terze parti come PayPal e i dati sul DNA degli utenti vengono memorizzati su sistemi separati da quelli contenenti gli indirizzi email dei clienti, secondo quanto sostiene l'azienda.

C'è comunque una lezione da imparare: anche se sembra che gli hacker non abbiano avuto accesso agli account di MyHeritage, come sostenuto dall'azienda, questa si rivela comunque una buona occasione per ricordarci di non usare la stessa password per più siti e servizi. Nel suo comunicato, MyHeritage sostiene anche che renderà disponibile l'autenticazione a due fattori a tutti gli utenti. Se temete che qualcuno acceda ai vostri dati su MyHeritage in futuro, sicuramente è il caso che abilitiate anche questa funzione.

Questo articolo è apparso originariamente su Motherboard US.

Vuoi restare sempre aggiornato sulle cose più belle pubblicate da MOTHERBOARD e gli altri canali? Iscriviti alla nostra newsletter settimanale.