6月7日訊 以色列知名家譜網(wǎng)站 MyHeritage 2018年6月4日表示，其服務(wù)遭遇網(wǎng)絡(luò)安全事件，導(dǎo)致9200多名用戶的賬戶數(shù)據(jù)泄露。該公司6月4日獲悉此事當(dāng)天就發(fā)布聲明，向公眾披露這次事件。

據(jù)報道，一名安全研究人員在第三方服務(wù)器上發(fā)現(xiàn)一份文檔中9200多萬 MyHeritage 用戶的個人信息，這起數(shù)據(jù)泄露事件從而浮出水面。

泄露的文件僅包含電子郵件和哈希密碼

這份文檔中僅包含電子郵件和哈希密碼，并不包含支付卡詳情或 DNA 檢測結(jié)果。MyHeritage 公司稱其使用第三方付款處理器進(jìn)行財務(wù)操作，也就是說并未將支付數(shù)據(jù)存儲在系統(tǒng)上，而 DNA 檢測結(jié)果則單獨(dú)存儲在其它服務(wù)器上。

從部分賬戶的創(chuàng)建日期來看，這次數(shù)據(jù)泄露事件似乎發(fā)生在2017年10月26日，目前尚不清楚數(shù)據(jù)因黑客攻擊或內(nèi)部員工而泄露。

MyHeritage 公司表示，用戶賬戶仍是安全的，因?yàn)樵摴緦γ總€用戶實(shí)施唯一加密密鑰對密碼做了哈希處理。MyHeritage 并未存儲用戶密碼，而是存儲了每個密碼的單向哈希，每位用戶的哈希密鑰不同。自2017年10月26日以來，MyHeritage 并未發(fā)現(xiàn)任何賬戶遭受攻擊的活動。

符合歐盟的《通用數(shù)據(jù)保護(hù)條例》要求

鑒于歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）的嚴(yán)格要求，該公司在發(fā)現(xiàn)數(shù)據(jù)泄露當(dāng)天就公開披露了此事。按照 GDPR 的要求，在歐盟開展業(yè)務(wù)的公司必須在發(fā)現(xiàn)事件的三天內(nèi)進(jìn)行披露。該公司表示，已聯(lián)系一家網(wǎng)絡(luò)安全公司幫助調(diào)查事件的嚴(yán)重程度，以確認(rèn)黑客是否訪問了其它系統(tǒng)。

MyHeritage 將推出雙因素驗(yàn)證機(jī)制

盡管雙因素驗(yàn)證非常普遍，但 MyHeritage 公司尚未這樣進(jìn)行保護(hù)，此次事件后該公司做出承諾將會推出雙因素驗(yàn)證保護(hù)機(jī)制。這樣一來，即使黑客設(shè)法解密了哈希密碼，若無法獲取第二步的驗(yàn)證碼仍無濟(jì)于事。

MyHeritage 建議用戶盡快更改密碼。這起事件是2018年發(fā)生的最大規(guī)模的數(shù)據(jù)泄露事件，也是繼2017年 Equifax 入侵事件以來發(fā)生的最大規(guī)模的泄露事件。