Incidente de seguridad, octubre de 2020
Escribo hoy sobre un incidente de seguridad que puede haber expuesto datos de las cuentas de Reincubate de los usuarios.
Estas son las cuentas creadas automáticamente en nuestro sitio cuando los usuarios compraron iPhone Backup Extractor u otros productos. No incluyen datos de dispositivos o copias de seguridad, ni datos de tarjetas de crédito .
Los datos provienen de una copia de seguridad que creamos en noviembre de 2017. Hemos restablecido automáticamente las contraseñas de las cuentas de usuario de Reincubate: estas están y siempre se han cifrado de forma segura. Las cuentas creadas con posterioridad a esa fecha no se ven afectadas.
Los datos pueden incluir nombres y direcciones de correo electrónico y, para algunos usuarios, direcciones de facturación y metadatos sobre el uso de nuestros productos y servicios. Hemos enviado un correo electrónico a todos los usuarios potencialmente afectados directamente para explicarles en qué categoría pertenecen. Para la mayoría, esto se limita al nombre y la dirección de correo electrónico .
Que pasó
Cerca de la medianoche del domingo 18 de octubre de 2020, recibimos un correo electrónico anónimo de una persona que afirmaba que se había accedido a los datos desde el sitio Reincubate a través de una vulnerabilidad, solicitando el pago en Bitcoin para evitar que la información se publicara.
Cuando recogimos el informe el domingo por la mañana, nos pusimos manos a la obra para identificar qué datos estaban involucrados y cómo se habían obtenido. Le escribimos para establecer si la persona estaba informando la infracción según los términos de nuestra política de divulgación de seguridad responsable .
Como la persona se negó a revelar la fuente de la violación o los medios por los que se habían obtenido los datos, y continuó insistiendo en el pago urgente para evitar la divulgación de los datos, presentamos un informe ante la autoridad competente en el Reino Unido, la Oficina del Comisionado de Información. (ICO). Estamos haciendo un seguimiento con el Centro Nacional de Denuncias de Fraude y Ciberdelitos (Acción Fraude) del Reino Unido. De acuerdo con la ley del Reino Unido, no hemos pagado ni pagaremos ninguna solicitud de extorsión.
Seguimos manteniendo correspondencia con la persona para determinar qué datos se habían visto comprometidos. En el transcurso de varios correos electrónicos, quedó claro que muchas de sus afirmaciones no tenían fundamento, ya que alegaban tener copias del código fuente de la empresa en un formato que nunca existió, código copiado de herramientas que nunca se han utilizado en Reincubate, tipos de datos nunca hemos almacenado y copias de seguridad de bases de datos y sistemas de fechas y horas mucho después de que dichos sistemas hayan sido retirados.
Identificamos la causa de la violación como un conjunto de credenciales de AWS que se habían filtrado en un incidente separado en Datadog, un servicio de monitoreo en la nube que usamos. Revocamos estas credenciales en ese momento, pero el proceso que usamos para revocarlas falló y no pudimos verificar que el cambio se haya realizado correctamente. Ya no usamos Datadog, y el miembro del personal en este rol dejó la empresa poco después de ese incidente.
Determinamos que recientemente se había accedido a una o más de una pequeña cantidad de copias de seguridad de bases de datos que datan de noviembre de 2017 almacenadas en un depósito de almacenamiento privado de Amazon Web Services (AWS) S3 utilizando las credenciales filtradas. Había pocas copias de seguridad presentes y fácilmente accesibles en el depósito, ya que abandonamos el uso regular de S3 para las copias de seguridad ese mismo año, y los datos se volvieron inaccesibles automáticamente con el servicio Glacier de Amazon. Ningún sistema activo se vio afectado por la vulnerabilidad de seguridad. Los datos en cuestión tienen 3 años.
A través de una comunicación continua con el individuo, creemos que puede tener la intención de publicar los datos limitados que ha obtenido.
Como hemos respondido
Hemos revocado o rotado todas nuestras credenciales de AWS. Durante las próximas semanas, dejaremos de usar AWS S3 para el almacenamiento de copias de seguridad heredadas. (Dejamos de mover copias de seguridad a AWS en 2018 por completo, y casi todas las copias de seguridad se almacenaron en el sistema Glacier de Amazon y eran inaccesibles) Planeamos descontinuar por completo el uso de AWS en los próximos meses, lo que permitirá a nuestros equipos de operaciones mantener su enfoque en mejorar y asegurar nuestros servicios en Google Cloud Platform.
Aunque ya realizamos revisiones periódicas de nuestro uso de los servicios de computación en la nube, estamos implementando revisiones trimestrales de las credenciales en todos los sistemas para asegurarnos de que las credenciales no utilizadas o potencialmente expuestas se retiren correctamente. Esto, junto con nuestros cambios para consolidar nuestra huella de alojamiento en la nube, brindará a nuestros equipos una base más sólida para operar y minimizar la recurrencia de tal incidente.
Reincubate ha publicado una política de divulgación responsable durante varios años, y continuamos trabajando de manera fructífera con investigadores de seguridad ética de forma ad-hoc. De acuerdo con nuestra política de privacidad, almacenamos datos muy limitados de los usuarios y continuaremos revisando periódicamente qué datos almacenamos y cómo.
La Oficina del Comisionado de Información del Reino Unido no ha determinado que necesitemos comunicar este incidente a los usuarios en este momento. Sin embargo, de acuerdo con nuestros valores , hemos escrito de manera proactiva para notificar a los usuarios del período afectado, independientemente de si creemos que se obtuvo acceso a las copias de seguridad que contienen sus detalles.
Continuaremos actualizando a los usuarios (y esta publicación) a medida que haya más información disponible.