Incident de cybersécurité : Mise à jour du 6 juin

Hier, nous avons signalé un incident de cybersécurité affectant MyHeritage, lors duquel les adresses e-mail et les mots de passe hachés de 92,3 millions d’utilisateurs de MyHeritage ont été divulgués sur un serveur privé hors de MyHeritage.

Notre équipe d’Intervention en cas d’Incident de Sécurité de l’Information enquête toujours sur cet incident et nous n’avons pas encore de mise à jour concernant la source de la fuite. Nous n’avons pas remarqué d’abus de comptes sur MyHeritage, ni de preuve que les informations divulguées ont été utilisées par des acteurs malveillants.

L’incident nous a été signalé par un expert en sécurité avant-hier le 4 juin 2018, vers 13 heures HNE, soit 20 heures à notre QG en Israël. Nous avons rassemblé les personnes concernées pour enquêter sur l’incident, recueilli suffisamment de détails pour l’annoncer publiquement 8 heures après que nous l’avons appris.

Depuis, nous avons travaillé littéralement 24 heures sur 24, en prenant des mesures supplémentaires pour protéger nos utilisateurs et nous tenions à vous informer de nos progrès dans ce domaine jusqu’à maintenant, un jour après notre rapport initial.

Bien qu’aucun mot de passe n’ait fui, mais seulement des versions hachées des mots de passe, nous avons recommandé à nos utilisateurs de changer leur mot de passe, et beaucoup l’ont déjà fait. Cependant, pour maximiser la sécurité de nos utilisateurs, nous avons commencé à expirer TOUS les mots de passe des utilisateurs sur MyHeritage. Ce processus aura lieu au cours des prochains jours. Il inclura tous les 92,3 millions de comptes des utilisateurs affectés plus les 4 millions de comptes supplémentaires qui se sont inscrits sur MyHeritage après la date de violation du 26 octobre 2017. À ce jour, nous avons déjà expiré les mots de passe de plus de la moitié des comptes d’utilisateurs sur MyHeritage. Les utilisateurs dont le mot de passe a expiré sont obligés de définir un nouveau mot de passe et ne pourront pas accéder à leur compte et à leurs données sur MyHeritage avant de l’avoir fait. Cette procédure ne peut être effectuée que via un e-mail envoyé à l’adresse e-mail de leur compte sur MyHeritage. Cela rendra plus difficile toute personne non autorisée, même quelqu’un qui connaît le mot de passe de l’utilisateur, d’accéder au compte. Nous prévoyons d’achever le processus d’expiration de tous les mots de passe dans les prochains jours, après quoi tous les mots de passe affectés ne seront plus utilisables pour accéder aux comptes et aux données sur MyHeritage. Veuillez noter que les autres sites Web et services appartenant à MyHeritage, tels que Geni.com et Legacy Family Tree, n’ont pas été affectés par l’incident.

Comme indiqué, nous accélérons le travail sur l’ajout de l’authentification à deux facteurs sur MyHeritage et nous annoncerons quand cela sera disponible, car il est fortement recommandé de l’utiliser pour accroitre la sécurité.

Les utilisateurs qui ont des difficultés à changer leur mot de passe ou qui ont d’autres questions ou préoccupations doivent contacter notre service clientèle pour la sécurité par e-mail à privacy@myheritage.com ou par téléphone via le numéro d’appel gratuit (USA) +1 888 672 2875, disponible 24/7.

Nous pensons que l’intrusion est limitée aux adresses e-mail des utilisateurs. Nous n’avons aucune raison de croire que d’autres systèmes de MyHeritage ont été compromis. Sachez que les informations de carte de crédit ne sont pas stockées sur MyHeritage, mais uniquement sur les fournisseurs de facturation tiers utilisés par MyHeritage. D’autres types de données sensibles telles que les arbres généalogiques et les données ADN sont stockés par MyHeritage sur des systèmes distincts, séparés de ceux qui stockent les adresses électroniques, et ils incluent des niveaux de sécurité supplémentaires. Nous n’avons aucune raison de croire que ces systèmes ont été compromis.

Nous avons terminé le processus de rapport GDPR auprès des autorités.

Nous sommes prêts à annoncer la violation aux utilisateurs, individuellement, par e-mail ; un processus qui prendra du temps en raison du grand nombre d’utilisateurs concernés.

Il est important pour nous de répéter que votre vie privée et la sécurité de vos données sont et resteront toujours notre plus haute priorité. Nous continuerons à vous tenir informés de nos actions au cours des prochains jours.

Merci de votre compréhension.

L’équipe de MyHeritage

Contact

Omer Deutsch

Chef de la sécurité de l’information, MyHeritage

Email: dpo@myheritage.com