Robaron datos de 92 millones de usuarios de la web genealógica MyHeritage

Una de las principales compañías líderes del mundo en pruebas de ADN recientemente reveló que un investigador había encontrado en un servidor privado las direcciones de correo electrónico y contraseñas hash o encriptadas de los clientes que se habían registrado en su servicio.

MyHeritage explicó en un blog que la violación involucró aproximadamente a 92 millones de cuentas de usuarios que se crearon hasta octubre del año pasado.

La compañía dijo que la violación ocurrió el 26 de octubre de 2017. Pero el servicio no supo del incidente hasta hace unos días, más de unos siete meses después.

"No ha habido evidencia de que los datos en el archivo hayan sido utilizados alguna vez por los perpetradores", dijo la compañía.

No se expuso ninguna otra información, excepto las direcciones de correo electrónico y las contraseñas hash o encriptadas, según apuntó MyHeritage. La compañía subrayó que no almacena información de tarjetas de crédito de los clientes. Los datos sensibles como la información de ADN y los árboles genealógicos se almacenan en sistemas independientes de los que contienen direcciones de correo electrónico. "No tenemos motivos para creer que esos sistemas se hayan visto comprometidos".

MyHeritage se enteró de la violación solo después de que el investigador, que no fue identificado, se comunicara con el jefe de seguridad de la información de la compañía, Omer Deutsch. Después de que fuera alertado, la empresa dijo que su equipo de seguridad analizó el archivo enviado por el investigador y confirmó que su contenido era legítimo y que los datos se originaron en MyHeritage.

La compañía no explicó en el anuncio cómo ocurrió la violación o por qué nunca detectó la intrusión. MyHeritage no respondió a la solicitud de comentarios.

MyHeritage señaló que está "tomando medidas" y contratará una firma independiente de seguridad cibernética para investigar el incumplimiento y determinar su alcance.

La compañía ha establecido un equipo de apoyo las 24 horas del día y los 7 días de la semana, para responder a las preguntas de los clientes.

MyHeritage es la última compañía en una cadena interminable de violaciones de datos. Ticketfly, la empresa de ventas de entradas para conciertos, dijo recientemente que la información de los clientes se vio comprometida, incluidos los nombres, direcciones, correos electrónicos y números de teléfono, luego que un hacker tomara el control del sitio. Y el mes pasado, la compañía que está detrás de los restaurantes Chili's anunció que la información de pago de los clientes podría haber estado expuesta a un ataque de malware.

El aluvión de infracciones de datos pone de manifiesto los mayores riesgos de robo de identidad y las continuas vulnerabilidades presentadas por las bases de datos de información del cliente y aplicaciones móviles.

Los clientes de MyHeritage se encuentran entre los millones de estadounidenses que compraron en el nuevo mercado la genealogía del consumidor, enviando tubos llenos de escupitajos o hisopados de las mejillas a los sitios web de pruebas de ADN que se ofrecen para ayudarlos a descubrir sus antecedentes familiares. Popularizado por compañías como 23andMe y Ancestry.com, las pruebas y el análisis de los datos de ascendencia también han planteado preguntas en las últimas semanas sobre el posible uso indebido de dicha información sensible.

Este año, las autoridades dijeron que pudieron vincular a un sospechoso con una serie de crímenes usando un servicio de genealogía para rastrear el material genético a un hombre que, según dijeron, mató al menos a una docena de personas. Ese caso ha despertado inquietudes sobre las implicaciones de crear nuevas plataformas de información sensible que pueden usarse en contra de personas que no han dado su consentimiento para que se pruebe su información genética.