Selon la jeune entreprise, installée en banlieue de Tel Aviv et qui a publié un article sur son blog à propos de cette intrusion, les fichiers visés par le piratage concernent les informations d'utilisateurs inscrits jusqu'au 26 octobre, date de l'attaque.
MyHeritage, informé du piratage le 4 juin, a aussitôt informé ses utilisateurs ainsi que les autorités concernées, précise l'article.
Le groupe affirme avoir agi en conformité avec le Règlement européen pour la protection des données personnes (RGPD), entré en vigueur le 25 mai.
Le RGPD oblige les entreprises piratées à en informer les autorités dans les 72 heures suivant le piratage et ses clients si les informations extraites lors de l'attaque sont exploitables par les pirates, ce qui est le cas dans ce cas précis.
"Nous pensons que l'intrusion s'est limitée aux adresses mail des utilisateurs, nous n'avons aucune raison de penser qu'un autre système de MyHeritagea été compromis", assure l'entreprise. "Les données sensibles telles que les arbres généalogiques ou les ADN sont stockés sur des systèmes séparés".
Il s'agit de la première cyberattaque contre une entreprise répertoriée depuis l'entrée en vigueur du RGPD.
Si l'entreprise n'est pas installée dans un pays de l'Union européenne, le fait de disposer de données de citoyens européens lui impose d'informer ces derniers dans les plus brefs délais, selon les dispositions du RGPD.
Avec AFP