セキュリティ

約9200万人の個人情報がDNA解析サービス「MyHeritage」から流出


by pixelcreatures

家系図を作成することができるDNA解析サービス「MyHeritage」から9228万3889人分の個人情報が流出していたことが明らかになりました。

MyHeritage Statement About a Cybersecurity Incident « MyHeritage Blog
https://blog.myheritage.com/2018/06/myheritage-statement-about-a-cybersecurity-incident/#

Hacked: 92 Million Account Details for DNA Testing Service MyHeritage - Motherboard
https://motherboard.vice.com/en_us/article/vbqyvx/myheritage-hacked-data-breach-92-million

MyHeritage Says Over 92 Million User Accounts Have Been Compromised
https://thehackernews.com/2018/06/myheritage-data-breach.html


流出したのは2017年10月26日までにアカウント登録したユーザーの個人情報。MyHeritageの最高情報セキュリティ責任者は「セキュリティ研究者から『メールアドレスやハッシュ化されたパスワードを含むmyheritageという名前のファイルをMyHeritage以外のプライベート・サーバー上に見つけた』という連絡を受けました」と、MyHeritageのユーザー個人情報が流出したことをブログ上で報告しています。パスワードがハッシュ化されているということは、MyHeritageはユーザーのパスワードを平文で保存しているわけではないということを意味していますが、使われているアルゴリズムによってはハッカーが復号することも可能だとIT系ニュースサイトのMotherboardは指摘。この点、MyHeritageは「ハッシュ関数のキーは顧客によって異なります」としていることからソルトが使われているものとみられています。

ただし、ユーザーのDNA情報はメールアドレスなどの保存場所とは異なる場所に保存してあり、またクレジットカードのデータはPayPalなどサードパーティで処理されているため、今回の流出による影響は受けないとのこと。

by stevepb

MyHeritageは「顧客データのプライバシーやセキュリティは、あなたが重要だと思うのと同じくらいに、私たちにとっても重要です。顧客のアカウントや個人情報の安全を約束するために私たちは膨大な投資を行い、複数の暗号化レイヤーによる保護を行ってきました。全てのテストは臨床検査室の質を保証するクリア米国病理学会の認定を受けています」とサービスの安全性について強調しましたが、一方で全てのユーザーに対しパスワードの変更も促しています。

今後、MyHeritageは二段階認証を導入する予定であると示していますが、現時点でのサービス利用者は「Have I been pwned?」などを使って自分の個人情報が流出していないかを調べた方がよさそうです。

・関連記事
DNA検査を行うと広告のため遺伝子情報が使われてしまう可能性 - GIGAZINE

遺伝子解析が「健康な人」を「病人」に変えるかもしれない - GIGAZINE

「DNA検査」を3つ同時に受けてみたら明らかになった興味深い事実とは? - GIGAZINE

Googleが支援する遺伝子解析サービス「23andMe」が顧客の遺伝子情報で新薬の開発へ - GIGAZINE

未解決事件の犯人をDNA解析サービスで絞り込み12人を殺害し50人以上をレイプした犯人が40年の時を経て逮捕へ - GIGAZINE

in セキュリティ, Posted by logq_fa