Declaração do MyHeritage em relação a um incidente de cybersegurança

Declaração do MyHeritage em relação a um incidente de cybersegurança

No dia de hoje, 4 de junho de 2018, às aproximadamente 13 horas EST, o Chefe de Segurança de Informações do MyHeritage recebeu uma mensagem de um pesquisador de segurança de que havia encontrado um arquivo, nomeado myheritage, contendo endereços de email e senhas criptografadas, em um servidor externo, fora do MyHeritage. Nossa equipe de segurança de informações recebeu o arquivo deste pesquisador de segurança, fez uma análise do conteúdo e confirmou que o mesmo é proveniente do MyHeritage e inclui todos os emails dos usuários que fizeram seus cadastros no MyHeritage até o dia 26 de outubro de 2017, juntamente com suas senhas criptografadas.

Imediatamente depois do recebimento do arquivo, a equipe de segurança de informações do MyHeritage analisou o arquivo e iniciou a investigação para determinar como estes conteúdos foram obtidos e para identificar uma potencial exploração do sistema MyHeritage. Pudemos verificar que o arquivo era legítimo e que incluía o email e senhas criptografadas de 92.283.889 usuários que se cadastraram no MyHeritage até e inclusive o dia 26 de outubro de 2017, que foi a data desta violação. O MyHeritage não armazena as senhas de seus usuários, mas, sim, uma criptografia de cada senha, em que o hash utilizado é diferente para cada usuário. Com isto, qualquer pessoa que tenha acesso às senhas criptografadas não tem a senha propriamente dita, somente uma senha em forma de hash.

O pesquisador de segurança relatou que nenhum outro tipo de informações relacionadas ao MyHeritage foi encontrado no servidor privado. Não há nenhuma evidência de que as informações do arquivo tenham sido utilizadas pelos infratores. Desde o dia 26 de outubro de 2017 (a data da violação) até hoje nós não verificamos nenhuma atividade que pudesse indicar que alguma conta do MyHeritage tivesse sido comprometida.

Acreditamos que esta violação esteja limitada aos emails dos usuários. Não temos razão para pensar que qualquer outro sistema do MyHeritage tenha sido comprometido. Um exemplo: as informações relacionadas aos cartões de créditos não são armazenados no MyHeritage, mas somente  nos provedores de cobrança de confiança mantidos por terceiros (como o PayPal, BlueSnap), que são utilizados pelo MyHeritage. Outros tipos de informações confidenciais como as árvores genealógicas ou dados de DNA são mantidos no MyHeritage em sistemas à parte, separados daquele que armazena os emails. Assim, podemos adicionar outras camadas de segurança a eles. Não temos nenhum motivo para pensar que estes sistemas possam estar comprometidos.

Medidas que tomamos

Imediatamente depois de tomarmos nota deste incidente, criamos uma equipe para lidar com incidentes ligados à segurança de informações, para que investigassem a fundo o incidente. Também estamos tomando medidas imediatas para contratar uma empresa independente de segurança cibernética para conduzir uma perícia completa para determinar o motivo da invasão e para conduzir uma avaliação a fim de que possam fazer recomendações nos próximos passos que devemos dar para ajudar a evitar que incidentes deste tipo possam voltar a ocorrer no futuro.

Também estamos dando os passos necessários para que possamos informar as autoridades competentes sobre o incidente, conforme o GDPR (Regulamentação Geral para Proteção de Dados Pessoais da União Européia).

Assim, estamos agora acelerando nosso trabalho para uma ferramenta de autenticação de dois fatores, que queremos disponibilizar para todos os usuários do MyHeritage em breve. Isso fará com que os usuários que tiverem interesse na mesma, possam usar seus celulares juntamente com suas senhas, para que as suas contas no MyHeritage fiquem ainda mais protegidas de acessos ilegais.

Também criamos uma equipe de suporte trabalhado 24 horas por dia, nos sete dias da semana, para auxiliar os usuários que têm dúvidas ou preocupações sobre o incidente.

O que os nossos usuários deveriam fazer

Os usuários do MyHeritage que tenham alguma preocupação ou perguntas sobre este incidente podem contactar a nossa equipe de suporte através de emal privacy@myheritage.com ou telefone (em inglês e sujeito a tarifas)  +1 888 672 2875, disponível todos os dias.

Para todos os usuários registrados do MyHeritage nós recomendamos que alterem suas senhas no site do MyHeritage, para garantir a sua segurança máxima. Na nossa ajuda online, nós explicamos como fazer isso – confira aqui. Também recomendamos que todos utilizem a autenticação em dois fatores, assim que o MyHeritage lançar esta novidade.

Por ora, não há nenhuma outra medida que os usuários do MyHeritage precisem tomar, como resultado deste incidente. No entanto, sempre recomendamos que você tire um pouquinho do seu tempo para avaliar se você está tomando todas as precauções recomendadas. Por favor evite usar a mesma senha para múltiplas páginas na internet. É sempre recomendável usar senhas fortes e trocá-las com frequência.

Indo além

Como sempre, sua privacidade e segurança dos seus dados pessoais são a nossa prioridade principal. Estamos sempre avaliando nossos procedimentos e regulamentações para encontrar novas maneiras de aumentar a sua segurança. Entendemos a importância do nosso papel de guardiões das suas informações e trabalhamos todos os dias para merecer a sua confiança.

Agradecemos pela sua compreensão.

Contato

Omer Deutsch
Chief Information Security Officer, MyHeritage
Email: dpo@myheritage.com

Comentários

O endereço de e-mail é mantido privado e não será mostrado

  • Pedro Westphalen

    6 de junho de 2018

    Obrigado pela informação tempestiva, Karen. Eu li a notícia no ZeroHedge, e logo em seguida entro aqui e vejo este aviso, muito boa a postura, senha já atualizada! Boa sorte com as buscas!

  • Dorival lopes

    15 de junho de 2018

    Como devo Proceder , Justamente no mes de meu Niver..foi acontecer isso..Lamentavel…

    • Karen

      15 de junho de 2018

      Olá Dorival, realmente foi uma grande pena. Mas reagimos com rapidez, cancelando as senhas de todos os usuários e implementando medidas extras de segurança para manter a sua conta protegida. Faça o login no site e você receberá um email com instruções para recadastrar uma nova senha.

  • Andreia

    19 de junho de 2018

    Obrigado pela atenção

  • Idalina Cruz

    22 de junho de 2018

    obrigada pelo aviso que me foi enviado.

  • Vera

    4 de julho de 2018

    Boa noite! A pessoa teve acesso exatamente no que? Email? Face? Messenger? What? Invadiu onde? Quem foi essa pessoa ? Gostaria de saber. Tenho direito. Obrigada.

    • Karen

      4 de julho de 2018

      Olá Vera, como informado no texto acima, a lista continha o email e senha criptografada (ou seja, não é a senha propriamente dita, mas um código). Não sabemos quem foi o autor. As suas contas do messenger e facebook não estão integradas ao nosso site e não foram afetados.