MyHeritage: Stammbaum-Plattform verliert Daten von über 92 Millionen Nutzern

Schlechte Kunde muss die Online-Genealogie-Plattform MyHeritage verkünden. Die wurden von einem Sicherheitsforscher informiert, dass es Kundendaten von MyHeritage auf einem privaten Server geben würde. Bedeutet: Die sind wohl irgendwie dahin gekommen. Das Sicherheitsteam von MyHeritage prüfte die Daten und musste zugeben, dass diese tatsächlich von Kunden stammen – und zwar von allen, die sich bis zum 26. Oktober 2017 bei MyHeritage angemeldet haben.

Die Datei enthält die E-Mail-Adressen der Nutzer und die gehashten Passwörter. MyHeritage speichert laut eigener Aussagen keine Benutzerkennwörter, sondern einen einseitigen Hash jedes Kennworts, bei dem der Hash-Schlüssel für jeden Kunden unterschiedlich ist.

Das bedeutet, dass jeder, der Zugriff auf die Hash-Passwörter erhält, nicht über die eigentlichen Passwörter verfügt. Wie viele Datensätze der Angreifer erlangte? Von allen Benutzern bis zum besagten Datum eben – und das sind 92.283.889 registrierte.

Es gibt zum jetzigen Zeitpunkt wohl keinerlei Indizien, dass andere MyHeritage-Systeme kompromittiert wurden. Stammbäume und DNA-Daten würden auf anderen Servern liegen und die Zahlungen der Mitglieder werden über Drittanbieter wie PayPal abgewickelt. MyHeritage ist in Behörden in Kontakt, um den Fall genauer zu untersuchen. Des Weiteren wolle man die Arbeit an der Zwei-Faktor-Authentifizierung beschleunigen. Falls sich jemand als Kunde informieren will, der findet alles weitere in diesem Beitrag.

Auch wenn das nun nicht hilft: Selbst wenn Angreifer keine Passwörter erbeuten, so ist es doch ratsam, für jeden Dienst ein anderes Passwort zu nutzen. Und: Sofern möglich, setzt auf die Zwei-Faktor-Authentifizierung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Mal eine Frage – ich habe ein wenig Angst vor 2-Faktor weil ich in der Regel dann auf mein Telefon angewiesen bin. Gerade wenn es Mal verloren/gestohlen wird brauche ich einige Dienste, die dann damit gesichert sind. Mich nervt schon tierisch das Problem mit den Banken per SMS-Tan.
    Wie lößt ihr das Problem? Oder bin ich einfach zu alt und beengt in meiner Sicht. Ganz nach dem Motto ‚einen Tod muss man sterben‘ – und dann ist halt alles weg.

    • Phillip Plum says:

      Also einmal kann man in 1Password auch 2Auth Tokens generieren und man bekommt immer Backup-Tokens die man sich irgendwo anders ablegen muss. Mit diesen kommt man dann auch rein um z.B. ein neues Devices zu aktivieren.

      • Über den Sinn in einem Passwortmanager auch die Daten für 2-Faktor zu hinterlegen lässt sich aber vorzüglich streiten.
        Ich würde es aus Sicherheitsgründen nicht machen. Weil 2-Faktor, nach meiner Meinung, dann eher wenig Sinn macht.

        • @Jonathan
          Vermutlich verstehe ich nicht, was du eigentlich meinst. Wenn das nicht an meinem mangelndem Wissen liegt, was ich nicht einschätzen kann, dann ist deine Aussage vielleicht so vage, dass man nichts mit ihr anfangen kann. „in einem Passwortmanager auch die Daten für 2-Faktor zu hinterlegen“?

          Hab Heises Meldung von 2015 gelesen. Klingt für mich so, als hätte Authy damals fürs Login BEI AUTHY eine 2FA angeboten. Wir sprechen hier aber darüber, beim Login auf eine x-beliebige andere Seite, die 2FA unterstützt, einen von Authy generierten Zahlencode einzugeben.
          Geht’s dir wirklich um diesen Fall?

        • @Jonathan

          Vielleicht versteh ich nicht, was du eigentlich meinst. Wenn das nicht an meinem mangelndem Wissen liegt, was ich nicht einschätzen kann, dann ist deine Aussage vielleicht so vage, dass ich nichts mit ihr anfangen kann. „in einem Passwortmanager auch die Daten für 2-Faktor zu hinterlegen“?

          Satz 1: Über alles lässt sich trefflich streiten.
          Satz 2: Jeder, wie erst richtig findet.
          Satz 3: Meinungsfreiheit. Schön wäre eine nachvollziehbare Begründung.

          Persönlich: Ich mache mir aus solchen Statements nichts. Für mich sind sie keine Bereicherung.

    • Für 2FA gibt’s eigentlich immer Backup-Codes, die man am besten noch irgendwo sicher aufbewahrt hat. Falls dann doch mal das Handy putt geht, ist man auch nicht sofort ausgesperrt.

    • JohnLamox says:

      ich nutze daher OTP Auth. das gibt es für alle meine iOS-Geräte und hat auch eine watch-app. von daher perfekt, weil ich nicht immer das telefon in die hand nehmen muss, weil die codes auch auf der watch zu sehen sind. außerdem halten sich die daten der app über die iCloud synchron. eine macOS-app ist aktuell in der beta-phase.

  2. Ich (75) benutze und installiere Authy, das auf allen meinen Geräten inklusive PC, Notebook synchron läuft. Bei Geräte Verlust lässt es sich auf einem anderen Gerät wiederherstellen. Vermutlich muss man sich etwas damit beschäftigen …

    • externe Dienstleister können aber auch immer mal wieder unsicher sein:
      https://www.heise.de/security/meldung/Zweifaktor-Dienst-Authy-liess-jeden-rein-2576764.html

      • @WOK

        Vermutlich verstehe ich nicht, was du eigentlich meinst. Natürlich kann jeder Fehler machen. Manche Fälle sind dann besonders unglücklich.

        Hab Heises Meldung von 2015 gelesen. Klingt so, als hätt Authy damals fürs Login bei SICH, AUTHY, eine 2FA angeboten.

        Wir sprechen hier darüber, beim Login auf eine x-beliebige Seite, die 2FA unterstützt, einen von Authy generierten Zahlencode einzugeben. Ist dieser Zahlencode nicht identisch mit dem, den Googles Authenticator erzeugt? Ob diese andere Seite dann tatsächlich nur auf den richtigen Code oder auch auf etwas Falsches hin seine Pforten öffnet hat doch nichts mit Authy zu tun – oder???

  3. Michael Thimm says:

    Also, die Daten sind noch da, nicht verloren. Von einem Datenverlust würde ich sprechen, wenn die Daten nicht mehr verfügbar wurden.

    Hier handelt es sich offenbar um eine Sicherheitslücke, die einem Angreifer lesenden Zugriff auf die Daten gab.

    @bat: Das fortgeschrittene Alter entbindet einen nicht vom Lesen des Artikels bevor man ihn kommentiert. Ich (63) verwende die 2-Faktor Authentifizierung von Google zum Schutz meiner Daten.

    • @Michael Thimm

      Auf welche Passage des Artikels oder der Kommentierungen bezieht sich dein ERSTER Absatz?

      „lesenden Zugriff auf die Daten“ – Sicherheitsrisiko für die Betroffenen Anwender oder nicht?

      WAS hab ich nicht gelesen? [Vielleicht hat jemand in den 20 Minütigen Änderungs- und Löschmöglichen was rausgeschnitten?]
      Fortgeschrittenes Alter entbindet von gar nichts. Trotzdem lassen die Kräfte nach. Ich lade Dich ein, in 12 Jahren über dein Statement und mich nachzudenken; mein Abbau ist seit einem Jahr rasant, von mir täglich in seiner Rasanz-Steigerung beobachtbar; Zustand, dass mir das NICHT auffällt, noch nicht erreicht.

      Deinen LETZTEN Satz verstehe ich – nur nicht, warum du ihn MIR sagst. Ich verwende 2FA aus den gleichen Gründen.
      Sind wir beide vielleicht gar nicht so weit auseinander im Abbau? 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.