MyHeritage, una azienda israeliana che da vari anni offre un servizio per ricostruire la propria genealogia anche a partire dal test del Dna, martedì ha annunciato di aver subito una violazione della propria sicurezza. Un ricercatore infatti ha trovato online un file contenente tutti gli indirizzi email e le password (offuscate però con un procedimento noto come hashing) di più di 92 milioni di suoi utenti. La violazione risalirebbe allo scorso ottobre ma solo nei giorni scorsi l’azienda ne sarebbe venuta a conoscenza.
MyHeritage è una piattaforma che ospita dati particolarmente sensibili. Permette agli utenti di creare degli alberi genealogici, di fare ricerche storiche, di cercare possibili parenti. Inoltre gestisce anche MyHeritage DNA, un servizio di test genetici che consente alle persone di inviare un campione del proprio Dna (in genere della saliva) per un’analisi delle proprie informazioni.
“I dati sul Dna sono al sicuro”
My Heritage ha dichiarato nel suo blog di non avere ragione di credere che i dati degli utenti siano stati compromessi e ha invitato gli stessi a cambiare password. Le informazioni genetiche sarebbero infatti conservate in sistemi separati da quelli del database utenti, e le password sarebbero “hashed”, cioè offuscate attraverso una funzione matematica che le trasforma in una stringa di caratteri da cui è difficile risalire al testo d’origine.
Tuttavia l’azienda non ha specificato quale metodo abbia usato per offuscare le password, e il dettaglio sarebbe utile perché non tutti i sistemi utilizzati sono considerati sicuri e alcuni potrebbero permettere di risalire alle password. “Se il database utenti di MyHeritage è stato preso e conservato da un hacker malevolo (invece di essere esposto inavvertitamente da un dipendente), ci sono buone possibilità che gli attaccanti cercheranno di violare tutte le password.
E se alcune di queste sono violabili, allora gli attaccanti entreranno in possesso di dati più personali”, ha scritto in una analisi della vicenda il noto giornalista ed esperto di sicurezza Brian Krebs. A maggior ragione, nota Krebs, è incredibile che un servizio del genere non avesse implementato una autenticazione a due fattori per proteggere meglio le informazioni degli utenti.
Anche se nel suo comunicato MyHeritage ha specificato di stare lavorando proprio per introdurre tale funzione, che permette di aggiungere un sistema di autenticazione ulteriore oltre alla password. Inoltre sembra aver usato – come nota lo stesso Krebs – una tecnica nota come salting, che consiste nell’aggiungere dati causali alle password prima di offuscarla con l’hashing, rendendo più difficile la loro violazione.
Ad ogni modo l’episodio ravviva le preoccupazioni di sicurezza per la schiera di servizi online che offrono consulenze genetiche di vario tipo. E anche per i modi imprevedibili in cui queste possono essere sfruttate. Lo scorso mese aveva fatto discutere la storia di come gli investigatori americani avessero individuato un serial killer dopo anni sottoponendo il suo materiale genetico a un sito di questo tipo, per poi risalire all’identità dell’uomo attraverso un suo parente che aveva usato lo stesso servizio di analisi.