Déclaration de MyHeritage concernant un incident de cybersécurité

Commentaires3

Aujourd’hui, le 4 juin 2018 vers 13 heures EST, le Responsable de la Sécurité de l’Information de MyHeritage a reçu un message d’un expert en sécurité qui venait de trouver un fichier nommé myheritage contenant des adresses e-mail et des mots de passe hachés sur un serveur privé hors de MyHeritage. Notre équipe de sécurité de l’information a reçu le dossier de l’expert en sécurité, l’a examiné et a confirmé que son contenu provenait de MyHeritage et incluait toutes les adresses e-mail des utilisateurs et leurs mots de passe hachés inscrits sur MyHeritage jusqu’au 26 octobre 2017.

Aussitôt après la réception du fichier, l’équipe de sécurité informatique de MyHeritage a analysé le fichier et a commencé une enquête pour déterminer comment son contenu a été obtenu et identifier toute exploitation potentielle du système de MyHeritage. Nous avons déterminé que le fichier était légitime et incluait les adresses électroniques et les mots de passe hachés de 92 283 889 utilisateurs qui s’étaient inscrits sur MyHeritage jusqu’au 26 octobre 2017, soit la date de la violation. MyHeritage ne stocke pas les mots de passe des utilisateurs, mais plutôt un hachage unidirectionnel de chaque mot de passe, dans lequel la clé de hachage diffère pour chaque utilisateur. Cela signifie que toute personne ayant accès aux mots de passe hachés n’a pas les mots de passe réels.

Le chercheur en sécurité a signalé qu’aucune autre donnée liée à MyHeritage n’a été trouvée sur le serveur privé. Rien n’indique que les données du fichier aient été utilisées par les auteurs. Depuis le 26 octobre 2017 (la date de la violation) et jusqu’à aujourd’hui, nous n’avons vu aucune activité indiquant que des comptes MyHeritage ont été compromis.

Nous pensons que l’intrusion est limitée aux adresses e-mail des utilisateurs. Nous n’avons aucune raison de croire que d’autres systèmes de MyHeritage ont été compromis. Pour exemple, les informations de carte de crédit ne sont pas stockées sur MyHeritage, mais uniquement par les fournisseurs tiers de facturation (par exemple BlueSnap, PayPal) utilisés par MyHeritage. D’autres types de données sensibles telles que les arbres généalogiques et les données ADN sont stockés par MyHeritage sur des systèmes distincts, séparés de ceux qui stockent les adresses électroniques, et ils incluent des niveaux de sécurité supplémentaires. Nous n’avons aucune raison de croire que ces systèmes ont été compromis.

Les mesures que nous avons prises

Aussitôt après avoir pris connaissance de l’incident, nous avons mis en place une équipe d’intervention en cas d’incident de sécurité de l’information pour enquêter sur l’incident. Nous prenons également des mesures immédiates pour engager une firme de cybersécurité indépendante afin d’effectuer des examens légaux complets pour de déterminer l’étendue de l’intrusion ; et de mener une évaluation et de fournir des recommandations sur les mesures qui peuvent être prises pour aider à prévenir un tel incident à l’avenir.

Nous prenons des mesures pour informer les autorités compétentes conformément au RGPD.

Nous allons accélérer notre travail sur la prochaine fonctionnalité d’authentification à deux facteurs que nous mettrons bientôt à la disposition de tous les utilisateurs de MyHeritage. Cela permettra aux utilisateurs intéressés, de s’authentifier en utilisant un appareil mobile en plus d’un mot de passe, ce qui renforcera encore plus leurs comptes MyHeritage contre un accès illégitime.

Nous avons mis en place une équipe de soutien à la clientèle chargée des questions de sécurité 24/7 pour aider les clients qui ont des préoccupations ou des questions sur l’incident.

Ce que nos utilisateurs devraient faire

Les utilisateurs de MyHeritage qui ont des questions ou des préoccupations à propos de cet incident peuvent contacter notre service sécurité clientèle par e-mail à l’adresse privacy@myheritage.com ou par téléphone via le numéro gratuit (USA) +1 888 672 2875, disponible 24/7.

A tous les utilisateurs inscrits sur MyHeritage, nous recommandons pour une sécurité maximale de changer leur mot de passe sur MyHeritage. La procédure pour ce faire est décrite dans l’article FAQ de MyHeritage. Dès que MyHeritage aura publié la fonctionnalité d’authentification à deux facteurs, nous recommandons à tous nos utilisateurs d’en profiter.

Pour l’instant, il n’y a pas d’autres actions que les utilisateurs de MyHeritage doivent effectuer à la suite de cet incident. Cependant, nous vous recommandons toujours de prendre le temps d’évaluer vos pratiques de sécurité. Veuillez éviter d’utiliser le même mot de passe pour plusieurs services ou sites Web. C’est une bonne pratique d’utiliser des mots de passe plus forts et de les changer souvent.

Aller de l’avant

Comme toujours, votre vie privée et la sécurité de vos données sont notre priorité absolue. Nous évaluons continuellement nos procédures et nos politiques et cherchons de nouvelles façons d’améliorer notre approche de la sécurité. Nous comprenons l’importance de notre rôle de gardiens de vos informations et travaillons tous les jours pour gagner votre confiance.

Merci de votre compréhension.

Contact

Omer Deutsch

Chef de la sécurité de l’information, MyHeritage

Email: dpo@myheritage.com

Laisser un commentaire

L’email est maintenu privé et ne sera pas affiché

  • Follet Jacques


    11 juin 2018

    J’ai modifié mon mot de passe comme suggéré.

  • Belhabchia


    14 juin 2018

    Merci de me prévenir Cordialement