以前，雷鋒網(wǎng)聽過一個段子：“網(wǎng)貸公司一個客戶發(fā)來感謝信，客戶是個孤兒，分期買了個 3000 元的手機一直沒還。網(wǎng)貸公司催收人員把他親生父母給找到了。。?！?/p>

6 月 6 日，據(jù)外媒報道，一家消費級 DNA 檢測公司丟了9230 萬個用戶數(shù)據(jù)，細思恐極，這這這。。。難道是不僅找到親生父母，還可能了解自己祖宗十八代的節(jié)奏？？？

雷鋒網(wǎng)編輯發(fā)現(xiàn)，原來，一位研究人員在 Myheritage 公司外的私有服務(wù)器上發(fā)現(xiàn)了該公司 9230 萬個用戶的郵箱地址和哈希密碼。這樣海量的數(shù)據(jù)被存儲在一個文件中，據(jù)專家分析，這些數(shù)據(jù)真實可信而且確實來自 MyHeritage。

虛驚一場，還好不是 DNA 信息。

但是，事情也好不到哪里去。MyHeritage 提供家族歷史調(diào)查服務(wù)，能通過 DNA 分析，幫用戶重建族譜。該公司網(wǎng)站現(xiàn)在有約 9600 萬注冊用戶，接受過基因檢測服務(wù)的用戶有 140 萬人。

當然，這事也不是 MyHeritage 的研究員自己發(fā)現(xiàn)的，而是某個研究員發(fā)現(xiàn)之后趕緊通知他們的。

據(jù) MyHeritage 的聲明顯示，美國東部時間6 月 4 日下午 1 時，MyHeritage 公司首席信息安全官收到了一條來自一位安全研究者的信息，他表示自己發(fā)現(xiàn)了一個被命名為“myheritage”的文件，包含大量郵箱地址和哈希密碼，這些數(shù)據(jù)存在公司外的一個私有服務(wù)器上。

MyHeritage 吃了一驚，派出信息安全團隊分析安全研究者發(fā)來的文件，隨即確認，這些內(nèi)容——這些信息確實來自 MyHeritage，它包含了 2017 年 10 月 26 日之前注冊用戶的郵箱地址和哈希密碼。

好在，在那臺私有服務(wù)器上，安全專家并沒有發(fā)現(xiàn)其他相關(guān)信息。

這些信息為什么會丟？

MyHeritage 澄清稱，它們并沒有用純文本的方式存儲用戶密碼，但并未解釋用來保護這些密碼的機制。他們稱，一直以來，MyHeritage 都在用第三方服務(wù)處理賬單信息，至于用戶的 DNA 數(shù)據(jù)和其他敏感數(shù)據(jù)都存在更為安全的隔離系統(tǒng)中。

這事的結(jié)局有點“套路”——該公司稱，它們并沒有發(fā)現(xiàn)這些泄露數(shù)據(jù)遭到濫用的情況?！皬?2017 年 10 月 26 日到現(xiàn)在，我們還沒發(fā)現(xiàn)任何 MyHeritage 賬號被黑的跡象?！盡yHeritage 在聲明中寫道?！拔覀兿嘈?，遭黑的只是用戶郵箱地址，其他 MyHeritage 系統(tǒng)并沒有被黑客入侵?！?/p>

當然，說是這么說，MyHeritage 還是有點怕怕的。它表示，自己專門組建了信息安全事件快速反應(yīng)小組，會雇傭網(wǎng)絡(luò)安全公司對該事件進行徹查。同時，MyHeritage 還表示，未來計劃引入兩步驗證機制來提升用戶數(shù)據(jù)安全。

不過，呵呵呵。。。MyHeritage 在聲明最后還是發(fā)出了一則提醒——用戶最好抓緊時間修改密碼。

 

雷鋒網(wǎng)Via. Security Affairs

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。