Incident de cybersécurité : Mise à jour du 6 juin

Commentaires13

Hier, nous avons signalé un incident de cybersécurité affectant MyHeritage, lors duquel les adresses e-mail et les mots de passe hachés de 92,3 millions d’utilisateurs de MyHeritage ont été divulgués sur un serveur privé hors de MyHeritage.

Notre équipe d’Intervention en cas d’Incident de Sécurité de l’Information enquête toujours sur cet incident et nous n’avons pas encore de mise à jour concernant la source de la fuite. Nous n’avons pas remarqué d’abus de comptes sur MyHeritage, ni de preuve que les informations divulguées ont été utilisées par des acteurs malveillants.

L’incident nous a été signalé par un expert en sécurité avant-hier le 4 juin 2018, vers 13 heures HNE, soit 20 heures à notre QG en Israël. Nous avons rassemblé les personnes concernées pour enquêter sur l’incident, recueilli suffisamment de détails pour l’annoncer publiquement 8 heures après que nous l’avons appris.

Depuis, nous avons travaillé littéralement 24 heures sur 24, en prenant des mesures supplémentaires pour protéger nos utilisateurs et nous tenions à vous informer de nos progrès dans ce domaine jusqu’à maintenant, un jour après notre rapport initial.

Bien qu’aucun mot de passe n’ait fui, mais seulement des versions hachées des mots de passe, nous avons recommandé à nos utilisateurs de changer leur mot de passe, et beaucoup l’ont déjà fait. Cependant, pour maximiser la sécurité de nos utilisateurs, nous avons commencé à expirer TOUS les mots de passe des utilisateurs sur MyHeritage. Ce processus aura lieu au cours des prochains jours. Il inclura tous les 92,3 millions de comptes des utilisateurs affectés plus les 4 millions de comptes supplémentaires qui se sont inscrits sur MyHeritage après la date de violation du 26 octobre 2017. À ce jour, nous avons déjà expiré les mots de passe de plus de la moitié des comptes d’utilisateurs sur MyHeritage. Les utilisateurs dont le mot de passe a expiré sont obligés de définir un nouveau mot de passe et ne pourront pas accéder à leur compte et à leurs données sur MyHeritage avant de l’avoir fait. Cette procédure ne peut être effectuée que via un e-mail envoyé à l’adresse e-mail de leur compte sur MyHeritage. Cela rendra plus difficile toute personne non autorisée, même quelqu’un qui connaît le mot de passe de l’utilisateur, d’accéder au compte. Nous prévoyons d’achever le processus d’expiration de tous les mots de passe dans les prochains jours, après quoi tous les mots de passe affectés ne seront plus utilisables pour accéder aux comptes et aux données sur MyHeritage. Veuillez noter que les autres sites Web et services appartenant à MyHeritage, tels que Geni.com et Legacy Family Tree, n’ont pas été affectés par l’incident.

Comme indiqué, nous accélérons le travail sur l’ajout de l’authentification à deux facteurs sur MyHeritage et nous annoncerons quand cela sera disponible, car il est fortement recommandé de l’utiliser pour accroitre la sécurité.

Les utilisateurs qui ont des difficultés à changer leur mot de passe ou qui ont d’autres questions ou préoccupations doivent contacter notre service clientèle pour la sécurité par e-mail à privacy@myheritage.com ou par téléphone via le numéro d’appel gratuit (USA) +1 888 672 2875, disponible 24/7.

Nous pensons que l’intrusion est limitée aux adresses e-mail des utilisateurs. Nous n’avons aucune raison de croire que d’autres systèmes de MyHeritage ont été compromis. Sachez que les informations de carte de crédit ne sont pas stockées sur MyHeritage, mais uniquement sur les fournisseurs de facturation tiers utilisés par MyHeritage. D’autres types de données sensibles telles que les arbres généalogiques et les données ADN sont stockés par MyHeritage sur des systèmes distincts, séparés de ceux qui stockent les adresses électroniques, et ils incluent des niveaux de sécurité supplémentaires. Nous n’avons aucune raison de croire que ces systèmes ont été compromis.

Nous avons terminé le processus de rapport GDPR auprès des autorités.

Nous sommes prêts à annoncer la violation aux utilisateurs, individuellement, par e-mail ; un processus qui prendra du temps en raison du grand nombre d’utilisateurs concernés.

Il est important pour nous de répéter que votre vie privée et la sécurité de vos données sont et resteront toujours notre plus haute priorité. Nous continuerons à vous tenir informés de nos actions au cours des prochains jours.

Merci de votre compréhension.

L’équipe de MyHeritage

Contact

Omer Deutsch

Chef de la sécurité de l’information, MyHeritage

Email: dpo@myheritage.com

Laisser un commentaire

L’email est maintenu privé et ne sera pas affiché

  • Gilles Langlois


    11 juin 2018

    Comment faire une authentification à deux facteurs, si on a pas de téléphone cellulaire?

    • Elisabeth


      12 juin 2018

      L’authentification n’est possible qu’avec un téléphone portable.

  • Ventura


    11 juin 2018

    Merci pour votre travail de surveillance et félicitations pour votre réactivité à nous protéger.

    Toutes mes amitiés à l’équipe

  • Normand Beaulieu


    12 juin 2018

    Est-ce que les adresse email à qui nous avons donné accès a notre arbre généalogique ont pu être violées aussi ? Si oui, comment y remédier pour protéger leur vie privé ?

  • Normand Beaulieu


    12 juin 2018

    Comment se fait-il que cet incident de cybersécurité est connu depuis le 26 octobre 2017 et que nous sommes prévenu seulement après presque 6 mois plus tard ? Ça été très long avant de nous en aviser. C’est donc dire que beaucoup d’informations personnels ( # de téléphone, adresse résidentielle, date de naissance, les nom et prénom, etc. peuvent avoir été transigé pendant ce temps.
    Pourquoi çà été aussi long ?

    • Elisabeth


      12 juin 2018

      Bonjour M. Beaulieu, nous avons annoncé l’incident dès que nous l’avons appris, le 4 juin. L’incident remonte au 26 octobre mais nous venons de l’apprendre.

      • Elisabeth


        12 juin 2018

        L’incident concerne les mots de passes hachés, c’est-à-dire pas les mots de passe complets. Par précaution, si vous ne l’avez pas déjà fait, veuillez changer votre mot de passe.

  • Gilkinet


    15 juin 2018

    bravo à vous

  • Daniel Manini


    22 juin 2018

    comment faire pour changer mon mot de passe

    • Elisabeth


      24 juin 2018

      Bonjour M. Manini, afin de changer votre mot de passe, veuillez suivre les étapes suivantes :
      1. Connectez-vous sur votre site familial avec votre adresse mail et votre mot de passe actuel.
      2. Cliquez sur votre nom au coin en haut à droite de l’écran
      3. Sélectionnez dans le menu qui apparaît « Mon profil ». 4.Cliquez sur “Modifier l’email et le mot de passe” sur la gauche de votre page. 5. Entrez le nouveau mot de passe cliquez sur « Enregistrer ». Si vous utilisez Family Tree Builder, vous devez changer vos informations dans le programme en plus de les changer sur votre profil MyHeritage.fr comme indiqué ci-dessus.