Mondo

MyHeritage attaccata dagli hacker segue il protocollo del Gdpr. Tutto ok?

di

cybersecurity

La società israeliana che conserva anche dati sul Dna dei clienti ha comunicato l’incidente e assicurato che il furto riguarda solo email e password crittografate. Fatti, ricostruzioni, analisi e commenti critici

Intrusione ad alto rischio per MyHeritage, l’azienda israeliana che offre un servizio per ricostruire l’albero genealogico e conserva anche i dati dei test del Dna dei clienti. L’attacco hacker risale allo scorso 26 ottobre ma è stato portato alla luce solo nei giorni scorsi da un ricercatore della cybersecurity che ha trovato su un server privato un file contenente tutti gli indirizzi email e le password (mascherate dalla procedura di hashing) di più di 92,2 milioni degli utenti di MyHeritage. La società ha subito dopo confermato la violazione, scrivendo nel suo blog di aver verificato che il file rinvenuto è effettivamente stato sottratto dai suoi server ma che solo le email e le password “oscurate” sono state rubate; non c’è motivo di credere che siano stati compromessi altri dati sensibili, in particolare quelli sul Dna.

MyHeritage fa scattare la risposta

MyHeritage ha spiegato di non conservare le password utente: tiene invece un hash (funzione crittografica) unidirezionale (one-way) per ciascuna password, in cui la chiave è diversa per ciascun cliente. “Questo vuol dire che chiunque abbia accesso alle password offuscate con la procedura di hashing non ha in mano l’effettiva password”, si legge nella nota pubblicata sul blog della società. MyHeritage ha ribadito che nessun altro sistema è stato compromesso. Appena ricevuta notizia dell’incidente, l’azienda ha inoltre adottato diverse misure: ha creato un Information Security Incident Response Team per investigare, ha assunto una società indipendente di cybersecurity per l’indagine forense, ha avviato una valutazione interna per capire che cosa sia successo e come evitare nuovi episodi, ha informato le autorità competenti e seguito le procedure del Gdpr dell’Ue, ha istituito un team di supporto per i clienti e accelerato i tempi sull’adozione dell’autenticazione a due fattori che sarà “presto disponibile per tutti gli utenti di MyHeritage”.

“Un esempio positivo”

“E’ raro sentire notizie di una violazione in seguito alla quale l’azienda in questione si mette in prima linea e condivide in modo proattivo le informazioni con il proprio pubblico, un atteggiamento che alla fine porterà alla riduzione di eventuali danni collaterali”, ha commentato David Emm, Principal Security Researcher di Kaspersky Lab, secondo cui la risposta del Ciso (chief information security officer) Omer Deutsch “è stata davvero confortante”. “Spesso, quando si verifica una violazione, uno delle principali carenze riguarda l’onestà e la divulgazione della notizia da parte della vittima, che alla fine lascia i propri clienti ancora più vulnerabili perché non sono consapevoli di dover agire. Certo, i dati sono ancora a rischio, ed è particolarmente preoccupante quando si pensa al tipo di dati (i Dna, ad esempio)”. E’ importante che ora MyHeritage valuti l’implementazione dell’autenticazione a due fattori, perché garantisce una maggiore sicurezza.

O “Un caso incredibile”?

Molto più severo Brian Krebs, giornalista esperto di sicurezza che ha analizzato l’incidente: “Le ripetute garanzie di MyHeritage che dice che nessun dato connesso con i test del Dna e gli studi genealogici è stato compromesso non sono affatto rassicuranti”. Krebs nota che MyHeritage non ha specificato quale metodo di hashing abbia usato per mascherare le password. Visto che il post di MyHeritage parla di “hash key unica” per ogni password utente, probabilmente il metodo usato è l’aggiunta di un “salt” casuale a ciascuna password, un sistema che, secondo Krebs, può essere efficace se propriamente implementato; se il sistema non è questo i dati potrebbero essere più a rischio. Perciò non basta consigliare agli utenti di cambiare la password: “Sarebbe più prudente che MyHeritage invalidasse le password e forzasse il reset per tutti gli utenti prima che gli hacker capiscano come violare gli hash”, scrive l’analista. Anche Krebs conclude citando l’autenticazione a due fattori: “incredibile” che non sia stata finora implementata.

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati