Considerada uma das maiores empresas de serviço global de testes genéticos e também disponível para o público brasileiro, a MyHeritage afirma em seu site que possui atualmente 96 milhões de usuários registrados e agora acaba de confirmar que cerca de 92 milhões de contas de acesso foram vazadas em circunstâncias ainda não esclarecidas.
Essa enorme massa de contas foi descoberta e comunicada à MyHeritage por um pesquisador de segurança em outubro de 2017. De acordo com o comunicado oficial da companhia, o pesquisador encontrou em um servidor de terceiro um arquivo chamado myheritage e ao ser analisado pela equipe de segurança da empresa, comprovaram que o arquivo era legítimo e que constavam os endereços de e-mails e as senhas em hash de 92.283.889 usuários que se inscreveram no site da MyHeritage até o dia 26 de outubro de 2017.
Ainda segundo a empresa, nenhuma outra informação foi localizada durante a investigação e que informações confidenciais como dados de cartões de crédito são hospedados em provedores de pagamento confiáveis. Outros tipos de dados confidenciais, como árvores genealógicas e dados de DNA dos usuários são armazenados pela MyHeritage em sistemas segregados, separados daqueles que armazenam os endereços de e-mail.
A empresa de origem israelense garantiu que estava cumprindo as regras do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, dada a sua base de clientes multinacionais. “Estamos tomando medidas para informar as autoridades relevantes, incluindo como por GDPR”, disse a empresa. Segundo as regras do GDPR, aprovadas em 25 de maio, as empresas com clientes dentro da União Europeia têm 72 horas para relatar uma violação após tomar conhecimento do incidente.
Recentemente no Brasil foi aprovada na Câmara dos Deputados a primeira versão da Lei de Proteção de Dados Pessoais, embora ainda esteja longe do que muitas entidades ligadas à privacidade dos usuários desejariam, ela permitirá um avanço na responsabilização das empresas em relação à guarda segura de informações sensíveis de seus usuários. Ela ainda não está em vigência.
É quase certo que os dados de usuários brasileiros também estejam presentes no vazamento, portanto é altamente recomendável que sejam alteradas as senhas das contas cadastradas, principalmente se elas forem usadas em outros serviços na internet, pois apesar da empresa informar que as senhas não estão armazenadas em texto puro, há diversos casos em que a proteção do hash pode ser comprometida.
Fontes consultadas: Threatpost / MyHeritage
Imagens: Flickr
Texto adaptado: Roberto Henrique – Analista de Seg. da Informação – ABCTec