Szerző: Biztonságportál | Utolsó módosítás: 2018.06.07.
https://biztonsagportal.hu/ettol-a-tamadastol-meg-a-csaladfak-is-lelombozodtak.html
A MyHeritage immár hivatalosan is elismerte, hogy a felhasználói adatok tárolására szolgáló adatbázisát támadás érte, aminek következtében 92 millió felhasználó adata került illetéktelen kezekbe.
A genealógiával, DNS-elemzéssel és családfakutatással foglalkozó MyHeritage bővelkedik személyes és különleges adatokban. A több tízmillió felhasználójáról számtalan információval rendelkezik, így nem csoda, hogy a kiberbűnözők érdeklődését is felkeltette. Noha a MyHeritage rendszerét ért incidens során a támadók elsősorban nem genetikai és családi adatokra voltak kíváncsiak, azért így is töméntelen mennyiségű szenzitív adathoz jutottak hozzá. Ráadásul mindezt meglehetősen észrevétlen módon tették, így több hónap telt el mire az illetékesek tudomására jutott a támadás.
A MyHeritage közleménye szerint az adatbiztonsági incidensre 2017. október 26-án került sor, azonban arról csak a napokban értesült. Ezt követően egy napon belül értesítette a hatóságokat és az érintett felhasználókat a történtekről. Felállított egy incidenskezelő csoportot, és megerősítette az ügyfélszolgálatát a panaszok kezelése érdekében.
A vállalat az eddigi vizsgálatokra hivatkozva jelezte, hogy a támadók egy olyan adatbázishoz fértek hozzá, amelyben a támadás idején 92 millió felhasználó adata volt megtalálható. Egyebek mellett e-mail címek és jelszavak is. A cég hangsúlyozta, hogy a jelszavak hash-elve voltak, azonban arra már nem tért ki, hogy ehhez milyen módszereket alkalmazott.
Omer Deutsch, a MyHeritage biztonsági vezetője szerint egyelőre nincsenek arra utaló jelek, hogy az elkövetők egyéb MyHeritage adatbázisokhoz is hozzáfértek volna. Ilyen módon sem pénzügyi adatok, sem családfákkal kapcsolatos információk, sem más különleges adatok (például DNS-információk) nem szivárogtak ki.
Jelszókezelési mizéria
A vállalat a gyors (talán túl gyors) incidenskezelés közepette némileg elbizonytalaníthatta az érintett felhasználókat, mivel nem adott egyértelmű tanácsokat a jelszavakkal kapcsolatban. Először még csak javaslatként fogalmazta meg a kompromittált fiókokhoz tartozó hitelesítő adatok módosítását, majd néhány óra múlva inkább úgy gondolta, hogy minden felhasználó jelszavát reseteli. (Még azokét is, akik az incidenst követően regisztráltak a weboldalán.) Biztonsági szakértők szerint egyébként ez utóbbi volt a helyes döntés, már csak azért is mert a hash-elés (főleg, hogy annak metódusa nem ismert) nem biztos, hogy túlságosan nagy védelmet jelent.
Anthony James, a CipherCloud vezetője kiemelte, hogy manapság önmagában a hash-elésben nem igazán lehet megbízni, mivel a kiberbűnözők ezeket brute force módszerekkel törik. Nem ritka, hogy 100 ezer leggyakoribb jelszóból képzett hash táblával hasonlítják össze a lopott jelszóhash-eket. Ilyenkor pedig csak az segíthet, ha a jelszó valóban erős.
A MyHeritage jelezte, hogy jelenleg fejleszti azt a hitelesítő rendszerét, amely kétfaktoros azonosításra is lehetőséget ad majd. A cég kritikusai szerint ezek a fejlesztések nagyon megkéstek, hiszen egy ekkora nagyságú adatbázist már eddig is oltalmazni kellett volna ilyen jellegű technológiákkal.
A vállalat az eddigi vizsgálatokra hivatkozva jelezte, hogy a támadók egy olyan adatbázishoz fértek hozzá, amelyben a támadás idején 92 millió felhasználó adata volt megtalálható. Egyebek mellett e-mail címek és jelszavak is. A cég hangsúlyozta, hogy a jelszavak hash-elve voltak, azonban arra már nem tért ki, hogy ehhez milyen módszereket alkalmazott.
Omer Deutsch, a MyHeritage biztonsági vezetője szerint egyelőre nincsenek arra utaló jelek, hogy az elkövetők egyéb MyHeritage adatbázisokhoz is hozzáfértek volna. Ilyen módon sem pénzügyi adatok, sem családfákkal kapcsolatos információk, sem más különleges adatok (például DNS-információk) nem szivárogtak ki.
Jelszókezelési mizéria
A vállalat a gyors (talán túl gyors) incidenskezelés közepette némileg elbizonytalaníthatta az érintett felhasználókat, mivel nem adott egyértelmű tanácsokat a jelszavakkal kapcsolatban. Először még csak javaslatként fogalmazta meg a kompromittált fiókokhoz tartozó hitelesítő adatok módosítását, majd néhány óra múlva inkább úgy gondolta, hogy minden felhasználó jelszavát reseteli. (Még azokét is, akik az incidenst követően regisztráltak a weboldalán.) Biztonsági szakértők szerint egyébként ez utóbbi volt a helyes döntés, már csak azért is mert a hash-elés (főleg, hogy annak metódusa nem ismert) nem biztos, hogy túlságosan nagy védelmet jelent.
Anthony James, a CipherCloud vezetője kiemelte, hogy manapság önmagában a hash-elésben nem igazán lehet megbízni, mivel a kiberbűnözők ezeket brute force módszerekkel törik. Nem ritka, hogy 100 ezer leggyakoribb jelszóból képzett hash táblával hasonlítják össze a lopott jelszóhash-eket. Ilyenkor pedig csak az segíthet, ha a jelszó valóban erős.
A MyHeritage jelezte, hogy jelenleg fejleszti azt a hitelesítő rendszerét, amely kétfaktoros azonosításra is lehetőséget ad majd. A cég kritikusai szerint ezek a fejlesztések nagyon megkéstek, hiszen egy ekkora nagyságú adatbázist már eddig is oltalmazni kellett volna ilyen jellegű technológiákkal.
