以前，雷鋒網聽過一個段子：“網貸公司一個客戶發(fā)來感謝信，客戶是個孤兒，分期買了個 3000 元的手機一直沒還。網貸公司催收人員把他親生父母給找到了。。?！?/p>

6 月 6 日，據外媒報道，一家消費級 DNA 檢測公司丟了9230 萬個用戶數據，細思恐極，這這這。。。難道是不僅找到親生父母，還可能了解自己祖宗十八代的節(jié)奏？？？

雷鋒網編輯發(fā)現，原來，一位研究人員在 Myheritage 公司外的私有服務器上發(fā)現了該公司 9230 萬個用戶的郵箱地址和哈希密碼。這樣海量的數據被存儲在一個文件中，據專家分析，這些數據真實可信而且確實來自 MyHeritage。

虛驚一場，還好不是 DNA 信息。

但是，事情也好不到哪里去。MyHeritage 提供家族歷史調查服務，能通過 DNA 分析，幫用戶重建族譜。該公司網站現在有約 9600 萬注冊用戶，接受過基因檢測服務的用戶有 140 萬人。

當然，這事也不是 MyHeritage 的研究員自己發(fā)現的，而是某個研究員發(fā)現之后趕緊通知他們的。

據 MyHeritage 的聲明顯示，美國東部時間6 月 4 日下午 1 時，MyHeritage 公司首席信息安全官收到了一條來自一位安全研究者的信息，他表示自己發(fā)現了一個被命名為“myheritage”的文件，包含大量郵箱地址和哈希密碼，這些數據存在公司外的一個私有服務器上。

MyHeritage 吃了一驚，派出信息安全團隊分析安全研究者發(fā)來的文件，隨即確認，這些內容——這些信息確實來自 MyHeritage，它包含了 2017 年 10 月 26 日之前注冊用戶的郵箱地址和哈希密碼。

好在，在那臺私有服務器上，安全專家并沒有發(fā)現其他相關信息。

這些信息為什么會丟？

MyHeritage 澄清稱，它們并沒有用純文本的方式存儲用戶密碼，但并未解釋用來保護這些密碼的機制。他們稱，一直以來，MyHeritage 都在用第三方服務處理賬單信息，至于用戶的 DNA 數據和其他敏感數據都存在更為安全的隔離系統(tǒng)中。

這事的結局有點“套路”——該公司稱，它們并沒有發(fā)現這些泄露數據遭到濫用的情況?！皬?2017 年 10 月 26 日到現在，我們還沒發(fā)現任何 MyHeritage 賬號被黑的跡象?！盡yHeritage 在聲明中寫道?！拔覀兿嘈牛夂诘闹皇怯脩羿]箱地址，其他 MyHeritage 系統(tǒng)并沒有被黑客入侵?！?/p>

當然，說是這么說，MyHeritage 還是有點怕怕的。它表示，自己專門組建了信息安全事件快速反應小組，會雇傭網絡安全公司對該事件進行徹查。同時，MyHeritage 還表示，未來計劃引入兩步驗證機制來提升用戶數據安全。

不過，呵呵呵。。。MyHeritage 在聲明最后還是發(fā)出了一則提醒——用戶最好抓緊時間修改密碼。

 

雷鋒網Via. Security Affairs

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。