Ahnenforscher MyHeritage von Datenklau betroffen

Die Web­sei­te MyHe­ri­ta­ge, auf der Anwen­der ihre Stamm­bäu­me hin­ter­le­gen, mit Stamm­bäu­men ande­rer Nut­zer ver­knüp­fen und sogar Ahnen­for­schung auf Basis von DNA-Pro­ben vor­neh­men kön­nen, ist Opfer eines Daten­dieb­stahls gewor­den. Heu­te hat MyHe­ri­ta­ge sei­ne Anwen­der per E‑Mail infor­miert, eine öffent­li­che Stel­lung­nah­me ist bereits seit 4. Juni online. Der eigent­li­che Daten­klau hat offen­bar bereits im Okto­ber 2017 stattgefunden.

Betrof­fen sind die Log­in-Daten von 92 Mil­lio­nen Kun­den. Sicher­heits­for­scher über­ga­ben die im Inter­net kur­sie­ren­de Daten­bank MyHe­ri­ta­ge zur Über­prü­fung; sie wur­de als authen­tisch iden­ti­fiert. Abge­grif­fen wur­de dabei gemäß Anga­ben des Betrei­bers die E‑Mail-Adres­se und das Pass­wort (gehasht und sal­ted). Obwohl die Pass­wör­ter damit nicht direkt les­bar sind, kön­nen sie mit genü­gend gro­ßer Rechen­leis­tung geknackt werden:

Wir glau­ben, dass das Ein­drin­gen auf die E‑Mail-Adres­sen der Nut­zer beschränkt ist. Wir haben kei­nen Grund zu der Annah­me, dass ande­re MyHe­ri­ta­ge-Sys­te­me kom­pro­mit­tiert wur­den. Bei­spiels­wei­se wer­den Kre­dit­kar­ten­in­for­ma­tio­nen nicht auf MyHe­ri­ta­ge gespei­chert, son­dern nur bei ver­trau­ens­wür­di­gen Dritt-Rech­nungs­an­bie­tern (z. B. BlueS­nap, Pay­Pal), die von MyHe­ri­ta­ge ver­wen­det wer­den. Ande­re Arten von sen­si­blen Daten, wie Stamm­bäu­me und DNA-Daten, wer­den von MyHe­ri­ta­ge auf getrenn­ten Sys­te­men gespei­chert, getrennt von denen, die die E‑Mail-Adres­sen spei­chern, und sie ent­hal­ten zusätz­li­che Sicher­heits­ebe­nen. Wir haben kei­nen Grund zur Annah­me, dass die­se Sys­te­me kom­pro­mit­tiert wurden.

MyHe­ri­ta­ge emp­fiehl sei­nen Kun­den, das Pass­wort zu ändern. Soll­te jemand das glei­che Pass­wort auf noch wei­te­ren Diens­ten ver­wen­den – was aus­drück­lich nicht emp­foh­len wird – soll­te das Pass­wort dort eben­falls geän­dert werden.