Hackeo

Millones de direcciones de correo electrónico se filtraron del sitio de genealogía MyHeritage

Daniel

2 min read
Millones de direcciones de correo electrónico se filtraron del sitio de genealogía MyHeritage

MyHeritage, un sitio de genealogía especializado en árboles genealógicos y pruebas de ADN, está investigando una importante violación de seguridad después de que un investigador de seguridad encontró direcciones de correo electrónico y contraseñas cifradas que pertenecen a 92 millones de sus usuarios. La información del archivo data del 27 de octubre de 2017, por lo que cualquier persona que haya registrado una cuenta antes de esa fecha podría verse afectada.

Después de descubrir los datos del correo electrónico en un archivo de texto plano, el investigador alertó a la empresa, lo que hizo que su propio personal de seguridad trabajara. También contó con la ayuda de un equipo independiente de ciberseguridad.

Los expertos en seguridad no encontraron evidencia de otros datos de usuario en el servidor, y debido a que las contraseñas eran hash, solo las direcciones de correo electrónico eran legibles. MyHeritage también señaló que no hay evidencia de que los datos en el servidor se hayan usado alguna vez.

"MyHeritage no almacena las contraseñas de los usuarios, sino un hash unidireccional de cada contraseña, en el que la clave hash difiere para cada cliente", dijo el sitio en una publicación de su blog. "Esto significa que cualquiera que tenga acceso a las contraseñas hash no tiene las contraseñas reales".

Riesgos relativos

Otros datos, incluido el utilizado para construir árboles genealógicos, se almacenan por separado y no se vieron comprometidos, y no hubo riesgo de robo de los datos de la tarjeta de crédito porque el sitio procesa los pagos utilizando PayPal exclusivamente.

Sin embargo, las direcciones de correo electrónico son valiosas, y una lista tan grande sería un buen punto de partida para que los delincuentes inicien una campaña de phishing.

Esta filtración es particularmente vergonzosa porque su descubrimiento se produce inmediatamente después de la implementación del nuevo Reglamento General de Protección de Datos (GDPR) de la UE, que enfatiza que cualquier empresa que tenga información personal debe cuidar que no caiga en manos equivocadas, información que constituye la base de sitios como MyHeritage.

MyHeritage recomendó que todos sus usuarios cambien sus contraseñas por si acaso, y señala que pronto se actualizará a la autenticación de dos factores, lo que permitirá a los usuarios bloquear sus cuentas de forma más estricta, particularmente contra ataques de phishing.