6月6日, 提供DNA检测服务的在线家谱平台MyHeritage的9200万用户的账户数据在第三方私人服务器上被人发现。此次数据泄露内容主要为2017年10月26日之前注册用户的电子邮件地址和哈希密码,这是自去年Equifax泄漏14790万条私人数据以来的最大一次数据泄露事件。
数据泄露是怎么被发现的?
MyHeritage是一个总部设在以色列的家谱平台,允许用户制作家谱、搜索历史记录并寻找潜在的亲人。MyHeritage是由一支热衷于族谱学又精于网络技术的团队,于2003年组建而成,总部位于以色列特拉维夫区奥耶胡达市(Or Yehuda, Tel Aviv District),目标是方便全世界的人们利用强大的互联网轻松发现他们的传统遗产,并加强他们与亲友之间的关系。用户在MyHeritage网站上可以创建自己的家谱,搜索自己的祖先,分享照片和视频,还可以组织家庭活动,而且简单方便。
MyHeritage表示,该公司的安全管理员收到一位研究人员发送的消息,后者在该公司外部的一个私有服务器上发现了一份名为《myheritage》的文件,里面包含了9228万个MyHeritage帐号的电子邮件地址和加密密码。
MyHeritage发表声明称:
信用卡信息不会存储在MyHeritage中,而是仅存储在MyHeritage使用的受信任的第三方结算提供商(例如 BlueSnap、PayPal)处。MyHeritage将其他类型的敏感数据(如家谱和 DNA 数据)存储在独立的系统上,与存储电子邮件地址的系统分开存放,并且还包括额外的安全层。我们确定这些系统没有被破坏。
MyHeritage表示,没有理由认为黑客窃取了更多敏感信息。
DNA数据泄露的危害?
随着消费级DNA测试发展成为一个9900万美元的行业,关于用户私密数据的安全性问题也引发越来越多的关注。
2018年4月,拥有众多别名的“金州杀手”迪安杰洛(Joseph James DeAngelo)已被逮捕。
资料显示,这位72岁的金州杀手在1976到1986年间,在加州各地犯下12项杀人案以及50多起性侵案,被害人年龄从13岁到41岁。不过,最后将凶手缉拿归案的不是监控录像,也不是指纹识别而是一个不起眼的家谱网站。
这个不起眼的网站就是一家叫GEDmatch的开源免费网站。调查人员称,GEDmatch提供了公开的遗传数据库,在GEDmatch的数据库里找到了匹配凶手在犯罪现场留下的DNA样本的家族树,后续的调查指向了当下的犯罪嫌疑人德安杰洛洛。
据MyHeritage介绍,这次泄露事件发生在2017年10月26日,受影响的用户都是在那一天之前注册的。该公司还表示,他们并没有存储用户的密码,所有密码都经过所谓的单项散列方式进行加密,不同用户的数据需要使用不同的密钥才能访问。
但在之前的黑客事件中,这类机制曾经遭到破解,从而转换出密码。倘若如此,黑客便可获在登录用户帐号后获取其个人信息,包括家庭成员的身份。但即使黑客能够进入用户帐号,也不太可能轻易获取原始基因信息,因为想要下载这些内容,需要通过电子邮件进行确认。
目前,MyHeritag公司的数据库中已有了庞大的DNA数据库,“DNA检测”服务就是基于这些不断扩大的数据库的。
MyHeritage还依据美国法规和欧盟GDPR的规定,向相关单位通报这起信息安全事件。目前,MyHeritage已经请来第三方安全机构来处理此事。
未来MyHeritage将为用户账户实施双因素认证的安全保护措施,随着越来越多的在线公司将该服务商品化,以低价提供基因测序和仓库数据,DNA数据库已经受到更严格的审查。隐私维权人士发出警告,DNA数据库可能对追查和逮捕连环杀人案的凶手有利,但DNA样本也可能被罪犯或执法人员泄露和官员滥用。
原文发布时间为:2018-06-8
