Sicherheitsvorfall, Oktober 2020
Ich schreibe heute über einen Sicherheitsvorfall, bei dem möglicherweise Daten aus den Reincubate-Konten der Benutzer offengelegt wurden.
Dies sind die Konten, die automatisch auf unserer Website erstellt werden, wenn Benutzer iPhone Backup Extractor oder andere Produkte gekauft haben. Sie enthalten keine Daten von Geräten oder Backups oder Kreditkartendaten .
Die Daten stammen aus einer Sicherung, die wir im November 2017 erstellt haben. Wir haben Kennwörter automatisch zurückgesetzt, um Benutzerkonten neu zu inkubieren: Diese sind und wurden immer sicher verschlüsselt. Nach diesem Datum erstellte Konten bleiben unberührt.
Die Daten können Namen und E-Mail-Adressen sowie - für einige Benutzer - Rechnungsadressen und Metadaten zur Nutzung unserer Produkte und Dienstleistungen enthalten. Wir haben alle potenziell betroffenen Benutzer direkt per E-Mail benachrichtigt, um zu erklären, in welche Kategorie sie fallen. Für die Mehrheit ist dies auf Name und E-Mail-Adresse beschränkt .
Was ist passiert
Am Sonntag, dem 18. Oktober 2020, gegen Mitternacht, erhielten wir eine anonyme E-Mail von einer Person, die behauptete, dass über eine Sicherheitsanfälligkeit auf Daten von der Reincubate-Website zugegriffen wurde, und forderten die Zahlung in Bitcoin an, um die Veröffentlichung der Informationen zu verhindern.
Als wir den Bericht am Sonntagmorgen abholten, machten wir uns an die Arbeit, um herauszufinden, um welche Daten es sich handelte und wie sie erhalten wurden. Wir haben zurückgeschrieben, um festzustellen, ob die Person den Verstoß gemäß unserer verantwortungsvollen Sicherheitsrichtlinie gemeldet hat .
Da sich die Person weigerte, die Quelle des Verstoßes oder die Mittel, mit denen die Daten erhalten wurden, offenzulegen, und weiterhin auf einer dringenden Zahlung bestand, um eine Freigabe der Daten zu vermeiden, reichten wir einen Bericht bei der zuständigen Behörde im Vereinigten Königreich, dem Information Commissioner's Office, ein (ICO). Wir setzen uns mit dem britischen National Reporting Centre für Betrug und Cyberkriminalität (Action Fraud) in Verbindung. In Übereinstimmung mit dem britischen Recht haben und werden wir keine Erpressungsanfragen bezahlen.
Wir korrespondierten weiterhin mit der Person, um festzustellen, welche Daten kompromittiert worden waren. Im Verlauf mehrerer E-Mails wurde klar, dass viele ihrer Behauptungen unbegründet waren, da sie angeblich Kopien des Quellcodes des Unternehmens in einem nie existierenden Format hatten, Code, der von Tools kopiert wurde, die bei Reincubate noch nie verwendet wurden, Datentypen Wir haben nie Datenbanken und Systeme von Daten und Zeiten gespeichert, lange nachdem solche Systeme außer Betrieb genommen wurden.
Wir haben die Ursache des Verstoßes als eine Reihe von AWS-Anmeldeinformationen identifiziert, die bei einem separaten Vorfall bei Datadog, einem von uns verwendeten Cloud-Überwachungsdienst, verloren gegangen sind. Wir haben diese Anmeldeinformationen zu diesem Zeitpunkt widerrufen, aber der Prozess, mit dem wir sie widerrufen haben, ist fehlgeschlagen, und wir konnten nicht überprüfen, ob die Änderung erfolgreich durchgeführt wurde. Wir verwenden Datadog nicht mehr und der Mitarbeiter in dieser Rolle hat das Unternehmen kurz nach diesem Vorfall verlassen.
Wir haben festgestellt, dass auf eine oder mehrere einer kleinen Anzahl von Datenbanksicherungen aus dem November 2017, die in einem privaten Speicherbereich von Amazon Web Services (AWS) S3 gespeichert sind, kürzlich mit den durchgesickerten Anmeldeinformationen zugegriffen wurde. Es waren nur wenige Backups vorhanden und im Bucket leicht zugänglich, da wir im selben Jahr von der regulären Verwendung von S3 für Backups abgewichen sind und Daten mit dem Glacier-Service von Amazon automatisch nicht mehr zugänglich waren. Von der Sicherheitslücke waren keine aktiven Systeme betroffen. Die fraglichen Daten sind 3 Jahre alt.
Durch die fortgesetzte Kommunikation mit dem Einzelnen glauben wir, dass er möglicherweise beabsichtigt, die begrenzten Daten, die er erhalten hat, zu veröffentlichen.
Wie wir reagiert haben
Wir haben alle unsere AWS-Anmeldeinformationen widerrufen oder gedreht. In den kommenden Wochen werden wir AWS S3 nicht mehr zum Speichern älterer Backups verwenden. (Wir haben die Übertragung von Backups auf AWS im Jahr 2018 ganz eingestellt, und fast alle Backups wurden im Glacier-System von Amazon gespeichert und waren nicht zugänglich.) Wir planen, die Verwendung von AWS in den kommenden Monaten vollständig einzustellen, damit sich unsere Betriebsteams weiterhin auf Verbesserungen konzentrieren können und Sicherung unserer Dienste auf der Google Cloud Platform.
Obwohl wir bereits regelmäßige Überprüfungen unserer Nutzung von Cloud-Computing-Diensten durchführen, führen wir vierteljährliche Überprüfungen der Anmeldeinformationen auf allen Systemen durch, um sicherzustellen, dass nicht verwendete oder potenziell offengelegte Anmeldeinformationen korrekt gelöscht werden. Zusammen mit unseren Änderungen zur Konsolidierung unseres Cloud-Hosting-Fußabdrucks erhalten unsere Teams eine stärkere Grundlage, um das Wiederauftreten eines solchen Vorfalls zu bearbeiten und zu minimieren.
Reincubate veröffentlicht seit mehreren Jahren eine Richtlinie zur verantwortungsvollen Offenlegung , und wir arbeiten weiterhin auf Ad-hoc-Basis fruchtbar mit Forschern für ethische Sicherheit zusammen. Gemäß unserer Datenschutzrichtlinie speichern wir nur sehr begrenzte Daten von Benutzern und werden weiterhin regelmäßig überprüfen, welche Daten wir wie speichern.
Das Büro des britischen Informationskommissars hat nicht festgestellt, dass wir diesen Vorfall den Benutzern zu diesem Zeitpunkt mitteilen müssen. In Übereinstimmung mit unseren Werten haben wir jedoch proaktiv geschrieben, um Benutzer über den betroffenen Zeitraum zu informieren, unabhängig davon, ob wir der Ansicht sind, dass Zugriff auf Sicherungen mit ihren Daten erhalten wurde.
Wir werden die Benutzer (und diesen Beitrag) weiterhin aktualisieren, sobald weitere Informationen verfügbar sind.