Datalæk: 92 mio. My Heritage-brugere får lækket hashet kodeord og e-mailadresse

6. juni 2018 kl. 09:395
Datalæk: 92 mio. My Heritage-brugere får lækket hashet kodeord og e-mailadresse
Illustration: the_lightwriter/Bigstock.
Slægtsforskningsfirmaet My Heritage har fået lækket brugerdata på 92 mio. brugere. Sikkerhedsbristen blev først opdaget over syv måneder senere.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den 26. oktober 2017 blev hashede kodeord og e-mailadresser på 92 mio. My Heritage-brugere lækket. Firmaet opdagede først lækagen 4. juni 201, efter en sikkerhedsforsker henvendte sig til firmaet med detaljer om de lækkede mails.

Det skriver Ars Technica

My Heritage specialiserer sig i slægtsforskning og tilbyder enorme databaser til slægtsforskning, samt DNA-test som man kan bruge til at lære mere om sit genetiske ophav.

Firmaet har ikke kunnet svare på, hvordan lækagen er opstået, men ifølge Rafi Mendelsohn, PR-chef for MyHeritage, forventer My Heritage, at de vil være kommet til bunds i problemet i løbet af et par dage.

Artiklen fortsætter efter annoncen

My Heritage har hashed alle kodeord og gemte ikke kodeord i klartekst; altså er det ikke sikkert, at kodeordene er tilgængelige for en eventuel hacker. Det anbefales alligevel, at man opdaterer sit kodeord for en sikkerheds skyld.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
11. juni 2018 kl. 09:06

De tilbyder almindelige, private forbrugere at få foretaget en DNA-test bl.a., i relation til slægtsforskning.

Deres primært forretningsmodel går ud på, at man kan oprette slægtstræer, til slægtsforskning. Ønsker man at putte mere end 250 personer på, eller få adgang til andre premium features, såsom at få adgang til andre brugeres ellers offentlige data, koster det kassen. Firmaet, der også ejer geni.com, er rigtig gode til at tage rigtig mange penge for at sælge brugernes data (som man formelt set har lagt offentligt frem) til brugerene selv og laver ikke så meget nyudvikling.

DNA-tests er en ny ting der først er kommet inden for de seneste par år. De fleste tvivler nu kraftigt på hvor stor værdi det har inden for feltet,

4
11. juni 2018 kl. 02:08

Ifølge Threatpost.com oplyser MyHeritage følgende:

... the hash key differs for each customer password

... det tyder på at koderne er både saltet og hashed.

Mvh Allan Thisgaard

3
6. juni 2018 kl. 21:05

Jeg fik kendskab til virksomheden via reklamekampagner på Youtube/offentlig transport, mener jeg at have set dem. De tilbyder almindelige, private forbrugere at få foretaget en DNA-test bl.a., i relation til slægtsforskning.

På den vis giver de lækkede adgangskoder vel principielt adgang til en betragtelig mængde ganske personfølsomme oplysninger samt netværk af data.

Ifølge Ars Technica siger My Heritage selv:

[…]Other sensitive information, such as DNA data and family trees, are stored separately from email addresses and have extra layers of security.

Det er lidt svært at vide, hvad man skal tro. Selvfølgelig prøver virksomheden at øve damage control af hensyn til deres fremtidige forretning. Jeg ville godt nok aldrig have foretaget en DNA-test af en privat virksomhed for sådan noget pjat der.

2
6. juni 2018 kl. 13:27

Præcis. Hjemmesider burde oplyse, hvilken standard de bruger til kryptering af data, i stedet for alt det cookie-pis.

1
6. juni 2018 kl. 11:20

Ku være ret fedt at vide, for er det MD5 eller noget andet, så kan det være lige meget.