MyHeritage Datenleck, 90 Millionen Kontendaten abgezogen

Am Montag gab MyHeritage bekannt, dass ein Sicherheitsforscher von Millionen von Kontendaten auf einem privaten Server gefunden hat. Mit in den Datensätzen: E-Mail-Adressen und Hash-Passwörter.


Anzeige

Wer ist MyHeritage?

Die israelische Firma MyHeritage ist eine 'Ahnenforschungsplattform', mit der man Stammbäume verwalten kann. Das Interessante an der Geschichte ist, dass die Datensätze mit den Daten von Vorfahren über verschiedene Benutzer abgleichen können. Bei Treffern erhalten Nutzer eine Benachrichtigung und können (bei kostenpflichtigen Konten) den Nutzer kontaktieren, der diese Stammdaten eingetragen hat. Das ermöglicht einem, eventuell unbekannte Teile eines Stammbaums über Erkenntnisse von Dritten zu ergänzen.

Neben der Verwaltung von Stammbäumen bietet MyHeritage seit geraumer Zeit auch einen DNA-Abgleich an, mit dessen Daten die Verwandtschaft zu anderen Personen herausgefunden werden können soll. Die Plattform ist daher recht beliebt.

Anmerkung: Ich selbst habe ein kostenloses Konto (angelegt im Rahmen von Buchprojekten für Generation 50 Plus) bei denen, welches aber ewig nicht mehr genutzt wurde. Was mich nervt und bedenklich ist: Ich bekomme [da ich ewig nicht mehr angemeldet war] immer mal wieder Benachrichtigungen über angebliche Matches, die von meiner Schwester eingegeben worden seien. Nur hat meine Schwester kein Konto bei der Plattform. Und im Sinne der DSGVO sollte man mit der Speicherung von Daten lebender Personen vorsichtig sein, wenn man nicht deren Einwilligung hat.

Datenleak mit 90 Millionen Nutzerdaten

Am 4. Juni 2018 erhielt MyHeritage Chief Information Security Officer eine Nachricht von einem Sicherheitsforscher. Dieser hat auf einem privaten Server außerhalb von MyHeritage eine Datei namens myheritage mit E-Mail-Adressen und Hash-Passwörtern gefunden. Das Informationssicherheitsteam von MyHeritage erhielt die Datei von diesem Sicherheitsforscher. Eine Überprüfung ergab, dass der Inhalt von MyHeritage stammt und alle E-Mail-Adressen von Benutzern, die sich bis zum 26. Oktober 2017 bei MyHeritage angemeldet hatten, sowie deren Hash-Passwörter enthielt. Das Unternehmen hat dies in einem Blog-Beitrag eingestanden.

Weitere Analysen ergaben, dass die Datei die E-Mail-Adressen und Hash-Passwörter von 92.283.889 Benutzern enthielt, die sich bis einschließlich 26. Oktober 2017, dem Datum des Verstoßes, bei MyHeritage angemeldet hatten. MyHeritage speichert keine Benutzerkennwörter, sondern einen Einmal-Hash jedes Kennworts, bei dem der Hash-Schlüssel für jeden Kunden unterschiedlich ist. Das bedeutet, dass jeder, der Zugriff auf die Hash-Passwörter erhält, nicht über die eigentlichen Passwörter verfügt.


Anzeige

MyHeritage glaubt, dass das Eindringen auf die E-Mail-Adressen der Benutzer beschränkt ist. Es gibt, laut dem Unternehmen, keinen Grund zu der Annahme, dass andere MyHeritage-Systeme kompromittiert wurden. Beispielsweise werden Kreditkarteninformationen zunächst nicht bei MyHeritage gespeichert, sondern nur bei vertrauenswürdigen Drittanbietern (z. B. BlueSnap, PayPal), die von MyHeritage verwendet werden.

Andere Arten von sensiblen Daten wie Stammbäume und DNA-Daten werden von MyHeritage auf getrennten Systemen gespeichert, getrennt von denen, die die E-Mail-Adressen speichern, und sie enthalten zusätzliche Sicherheitsebenen. MyHeritage liegen keine Informationen vor, dass diese Systeme kompromittiert wurden. Das Unternehmen empfiehlt, das Kennwort für das Konto zu ändern. (via)


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu MyHeritage Datenleck, 90 Millionen Kontendaten abgezogen

  1. Mich@ sagt:

    sorry, aber ich habe immer bedenken Datenbanken mit sensibelen Daten zu befüllen, erstrecht wenn der Firmensitz in Israel oder dergleichen ist. Ob die anderen Server wirklich nicht kompromitiert sind ist eine andere Frage….
    Man könnte diesbezüglich auch spekulieren: Wenn ich du wäre, wo hätte ich mehr Interesse dran? Wie ist es eigentlich mit der DSGVO geregelt? muss ich mir wie in diesem Fall vorher von jedem Verwandten eine Einverständnisserklärung einholen und nach einem solchen SKANDAL(!!!) bei denen freiwillig melden um es bekannt zu machen? Was würde mich als Privatperson dann erwarten?

    • Günter Born sagt:

      Das ist eine schwierige rechtliche Einstufung. Formal kann man argumentieren, dass es eine geschlossene private Geschichte ist, die DSGVO also nicht gilt. Ich habe es in der Vergangenheit so gelöst, dass ich nur die Daten Verstorbener und in Absprache mit den Geschwistern und dem Ehepartner deren Grobdaten hinterlegt habe. War aber gut 10 Jahre vor DSGVO und ich habe damals aus Datenschutzgründen nur minimale Daten eingepflegt (war als Demo für ein Buchprojekt). Persönlich würde ich heute auf so was – aus den oben genannten Gründen – verzichten.

      Zu "melden bei': Der Fall ist ja (zumindest offiziell) nicht eingetreten. Es wurden 'nur' die Zugangsdaten zu MyHeritage abgegriffen – man ist also nur selbst betroffen. Das ist mir aber auch bei Adobe, Yahoo, LinkedIn (sogar ohne mein Zutun) und einigen weiteren Anbietern schon früher passiert.

      • Mich@ sagt:

        Ich interessiere mich für dieses Problem weil es jemanden aus dem Bekanntenkreis getroffen hat, der die Software exzessiv nuzt. Ich habe ihm schon öfter davon abgeraten aber..
        Naja, natürlich haben die von dem Bekannten nun die Logindaten seit x Tagen, die Frage ist aber ob man diese nicht schon genutzt hat um an die eingetragenen Daten zu kommen.
        (Namen, Anschriften, Emailadressen, Telnr…) Somit betrifft es meiner Meinung nach nicht mehr allein den User der Software wessen Logindaten gestohlen wurden.

        Aber wenn es "privat" ist und die DSGVO nicht greift ist ja alles in Butter! :)

        • Günter Born sagt:

          Ich habe nicht die betreffenden Informationen – aber nach bisheriger Auskunft haben die Leute, die die Daten erbeutet haben genau folgendes: Die E-Mail-Adresse und das gehashte Kennwort. Mit letzterem können sie nur etwas anfangen, wenn sie den Hash knacken könnten.

          Bei gut gewählten Kennwörtern und entsprechender Hash-Funktion geht das aber wohl nicht (siehe auch diesen Artikel). Eine Anmeldung mit E-Mail-Adresse und Hash ist also nicht möglich. Der Bekannte sollte das Kennwort ändern und für das Leak gilt 'gut ist'. Ob man dann aber von den DSGVO-Pflichten und den Datenschutzanforderungen bezüglich lebender Personen (zudem werden ja meist noch Fotos eingestellt) frei kommt, ist eine andere Frage. Das müssten Juristen entscheiden – ich würde eher dazu neigen 'alles was noch lebt und kreucht, hat da nix drin verloren'.

  2. Buchhalter sagt:

    Die DSGVO gilt nicht, wenn Privatpersonen Daten nur für persönliche oder familiärere Zwecke verarbeiten. Die DSGVO betrifft nur berufliche und wirtschaftliche Tätigkeiten.

    Was "wirtschaftliche Tätigkeiten" gemäß DSGVO sind, das ist allerdings nirgends geregelt. Dieser Begriff wird aber mMn sehr eng ausgelegt werden. Wenn eine Privatperson Daten verarbeitet und dabei einen Nutzen hat, dann wird es sich dabei wohl bereits um eine wirtschaftliche Tätigkeit handeln. Entsprechend ist dann auch die DSGVO zu berücksichtigen.

    Aus der Sicht der DSGVO ist MyHeritage ein Himmelfahrtskommando.
    Und wer das privat nutzt, dem ist mMn auch nicht mehr zu helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.