Gentile Gioacchino, |
In quanto uno dei nostri utenti registrati, portiamo alla tua attenzione il fatto che il 4 giugno 2018 alle 19 CET siamo venuti a conoscenza di una violazione dei dati che riguarda 92,3 milioni di indirizzi di mail di utenti di MyHeritage, e le loro password sottoposte a hashing (non sono le password effettive). |
Abbiamo saputo di questa violazione dei dati nel momento in cui il Chief Information Security Officer di MyHeritage ha ricevuto un messaggio con il quale un ricercatore su temi di sicurezza gli comunicava di aver trovato su un server privato esterno a MyHeritage un file chiamato "myheritage" contenente indirizzi di mail e password sottoposte a hashing. Il nostro Team di Information Security ha ricevuto il file dal ricercatore, lo ha esaminato, e ha confermato che i contenuti avevano origine in MyHeritage e che il file comprendeva tutti gli indirizzi di mail degli utenti registrati a MyHeritage fino al 26 ottobre 2017, e le loro password sottoposte a hashing. Abbiamo emesso un comunicato pubblico riguardante la violazione entro 8 ore dal momento in cui ne siamo venuti a conoscenza. |
Il tuo indirizzo di mail è uno degli account coinvolti nella violazione dei dati. |
Immediatamente dopo aver ricevuto il file, il Team di Information Security di MyHeritage ha analizzato il file e ha avviato un'indagine per determinare come i suoi contenuti siano stati ottenuti e per identificare potenziali accessi fraudolenti ai sistemi di MyHeritage. Abbiamo stabilito che il file era autentico e che comprendeva gli indirizzi di mail e le password sottoposte a hashing di 92.283.889 utenti che si erano registrati a MyHeritage fino al 26 ottobre 2017 compreso, che è la data in cui si è verificata la violazione. MyHeritage non archivia le password degli utenti, bensì una codifica di ciascuna password con una procedura di hashing unidirezionale, dove la chiave di hashing è diversa per ciascun utente. Questo significa che chiunque abbia accesso alle password codificate non possiede le password effettive. |
Il ricercatore di sicurezza ha dichiarato che sul server privato non sono stati trovati altri dati relativi a MyHeritage. Non ci sono evidenze che i dati nel file siano mai stati utilizzati dagli autori della violazione. Dal 26 ottobre 2017 (data della violazione) ad oggi non sono state rilevate attività che indichino che alcun account MyHeritage sia stato compromesso. |
Riteniamo che la violazione sia limitata agli indirizzi di mail degli utenti. Non abbiamo motivi per ritenere che sia stato compromesso qualsiasi altro sistema di MyHeritage. Ad esempio, per prima cosa le informazioni sulle carte di credito non sono archiviate su MyHeritage, ma solo su fornitori di servizi di pagamento di elevata affidabilità (ad esempio BlueSnap, PayPal) utilizzati da MyHeritage. Altri tipi di informazioni sensibili quali alberi genealogici e dati DNA sono archiviati da MyHeritage su sistemi segregati, separati da quelli che archiviano gli indirizzi di mail, che sono dotati di livelli di sicurezza addizionali. Non abbiamo nessun motivo di ritenere che tali sistemi siano stati compromessi. |
Misure che abbiamo adottato |
- Subito dopo essere venuti a conoscenza dell'incidente, abbiamo nominato un Information Security Incident Response Team per indagare l'incidente. Abbiamo ingaggiato un'azienda indipendente, leader nel settore della cybersecurity per condurre esami investigativi ad ampio raggio volti a determinare l'ambito della violazione; e per eseguire una valutazione e fornire raccomandazioni sulle azioni che possono essere intraprese per evitare che un incidente di questo tipo possa verificarsi nuovamente in futuro.
- Abbiamo informato le autorità in base alla normativa GDPR.
- Abbiamo nominato un team di assistenza clienti per la sicurezza che opera a orario continuato per dare supporto ai clienti che hanno preoccupazioni o domande relative all'incidente.
- Abbiamo fatto scadere tutte le password su MyHeritage, richiedendo quindi ai nostri utenti di impostare una nuova password. Puoi approfondire l'argomento nel comunicato di follow-up che abbiamo emesso il 5 giugno 2018.
- Abbiamo aggiunto il supporto all'Autenticazione a due fattori.
|
Cosa devi fare |
- Cambia la tua password su MyHeritage.
Visita il sito web MyHeritage e fai login. Ti sarà mostrato un avviso di inserire una nuova password. Se non ti compare l'avviso, cambia la tua password come descritto nel nostro articolo nelle FAQ. Se utilizzi la nostra app mobile o il software per la genealogia Family Tree Builder, prima cambia la password sul sito web, poi imposta la stessa nuova password nell'app mobile e/o in Family Tree Builder.
Cambiare la tua password è una prassi prudente e raccomandata. Quando l'avrai fatto, sarai più sicuro, perché anche se qualcuno dovesse avere la tua password non potrà accedere successivamente al tuo account MyHeritage.
Per massima sicurezza, cambia la password di frequente ed evita di utilizzare la stessa password per diversi servizi e siti web, così se la password dovesse essere violata su uno di loro non potrà essere utilizzata per accedere agli altri.
- Aggiungi l'Autenticazione a due fattori (opzionale).
L'Autenticazione a due fattori è un livello addizionale di sicurezza per il tuo account, progettato per assicurare che tu sia la sola persona che può accedere al tuo account, anche se qualcuno dovesse conoscere la tua password. L'Autenticazione a due fattori ti consente di autenticarti utilizzando oltre a una password un telefono mobile, in questo modo rendendo ancora più robusta la protezione del tuo account MyHeritage, dato che altre persone non hanno accesso al tuo telefono mobile. Per maggiori dettagli, leggi il post sul nostro blog.
|
Per il momento, non ci sono altre azioni che devi intraprendere come risultato di questo incidente. |
Assistenza Clienti |
Se hai domande o preoccupazioni, puoi contattare il nostro team di assistenza clienti per la sicurezza via mail a privacy@myheritage.com o per telefono al numero gratuito (negli USA) +1 888 672 2875, disponibile con orario continuato in inglese. Per i numeri telefonici dell'assistenza clienti in altri paesi, consulta la nostra Pagina Contatti e quando chiami, scegli dal menù l'opzione 5 (privacy). Se ti è richiesto dal nostro personale, nota che l'ID del tuo account è 713330441. |
Da qui in avanti |
Come sempre, la tua privacy e la sicurezza dei tuoi dati sono le nostre massime priorità. Valutiamo continuamente le nostre procedure e politiche e cerchiamo nuovi modi per migliorare il nostro approccio alla sicurezza. Comprendiamo perfettamente il nostro ruolo di custodi delle informazioni che ti riguardano e lavoriamo quotidianamente per godere della tua fiducia. |
Grazie per la tua comprensione.
La Squadra di MyHeritage |
Nessun commento:
Posta un commento