David Emm, Principal Security Researcher di Kaspersky Lab, ha commentato la recente vicenda che ha coinvolto il sito MyHeritage e la sua violazione, un attacco che potrebbe aver compromesso i dati, e in alcuni casi i dettagli sul DNA, di 92 milioni di utenti.
“Le notizie relative alla violazione dei dati sono all’ordine del giorno. È più raro, invece, sentire notizie di una violazione in seguito alla quale l’azienda in questione si mette in prima linea e condivide in modo proattivo le informazioni con il proprio pubblico, un atteggiamento che alla fine porterà alla riduzione di eventuali danni collaterali.
Ieri si è diffusa la notizia della violazione del sito MyHeritage, dedicato alla scoperta e alla condivisione della propria storia familiare, un attacco che potrebbe rendere vulnerabili i dati di 92 milioni di utenti in tutto il mondo.
La risposta del CISO dell’azienda, però, è stata davvero confortante. Nel giro di poche ore dalla scoperta della violazione, si è preso in carico il sito dell’azienda e ha spiegato agli utenti quello che avevano scoperto, quali misure stavano adottando per risolvere il problema e come proteggevano i dati delle persone in generale.
Spesso, quando si verifica una violazione, uno delle principali carenze riguarda l’onestà e la divulgazione della notizia da parte della vittima, che alla fine lascia i propri clienti ancora più vulnerabili perché non sono consapevoli di dover agire.
Certo, i dati sono ancora a rischio, ed è particolarmente preoccupante quando si pensa al tipo di dati (i DNA, ad esempio) contenuti in questo sito. Nonostante questo, agendo rapidamente e in modo risoluto, MyHeritage ha permesso agli utenti di riprendere il controllo dei propri dati personali attraverso il cambio delle password, il controllo di possibili attività sospette sui propri account e l’invito ad essere cauti; tutte azioni che, se fossero state tenute segrete mentre la società investigava o si dava il tempo di gestire la propria reazione pubblica, avrebbero lasciato gli utenti ancora più esposti a possibili truffatori.
È bello vedere che, andando avanti, MyHeritage sta valutando l’implementazione dell’autenticazione a due fattori per una maggiore sicurezza in questo tipo di scenario.
In questi giorni quando si parla di una violazione all’interno di una società non si parla di “se”, ma di “quando”; la protezione dei dati nel caso si verifichi un evento simile è davvero la soluzione.
Il consiglio che diamo agli utenti è lo stesso che deve essere messo in atto in caso di una qualunque violazione:
- Modificare la propria password dell’account MyHeritage e le password associate utilizzando una password complessa
- Monitorare i propri account per individuare eventuali attività sospette e non fare clic su alcun collegamento nelle e-mail che sembrano arrivare dal sito, ma accedere al proprio account online per controllare la presenza di eventuali comunicazioni.
è arrivata anche a me la mail in cui si avvisava di ciò che era successo. Ma io non mi sono mai iscritta a MyHeritage, fino a cinque minuti fa, non sapevo nemmeno cosa fosse…