Incident de sécurité, octobre 2020

Publié Mis à jour

J'écris aujourd'hui à propos d'un incident de sécurité qui a pu exposer les données des comptes Reincubate des utilisateurs.

Ce sont les comptes créés automatiquement sur notre site lorsque les utilisateurs ont acheté iPhone Backup Extractor ou d'autres produits. Ils n'incluent pas les données d'appareils ou de sauvegardes, ni les données de carte de crédit .

Les données proviennent d'une sauvegarde que nous avons créée en novembre 2017. Nous avons automatiquement réinitialisé les mots de passe des comptes utilisateurs de Reincubate: ceux-ci sont et ont toujours été cryptés de manière sécurisée. Les comptes créés après cette date ne sont pas affectés.

Les données peuvent inclure des noms et des adresses e-mail, et - pour certains utilisateurs - des adresses de facturation et des métadonnées sur l'utilisation de nos produits et services. Nous avons envoyé un e-mail à tous les utilisateurs potentiellement concernés directement pour leur expliquer dans quelle catégorie ils appartiennent. Pour la majorité, cela se limite au nom et à l'adresse e-mail .

Qu'est-il arrivé

Vers minuit le dimanche 18 octobre 2020, nous avons reçu un e-mail anonyme d'un individu affirmant que des données avaient été accédées depuis le site Reincubate via une vulnérabilité, demandant un paiement en Bitcoin pour éviter que les informations ne soient publiées.

Lorsque nous avons récupéré le rapport dimanche matin, nous nous sommes mis au travail pour identifier les données concernées et comment elles avaient été obtenues. Nous avons répondu pour déterminer si la personne signalait la violation selon les termes de notre politique de divulgation responsable de la sécurité .

Comme l'individu a refusé de divulguer la source de la violation ou les moyens dont les données avaient été obtenues, et continuait d'insister sur un paiement urgent pour éviter la divulgation des données, nous avons déposé un rapport auprès de l'autorité compétente du Royaume-Uni, le Bureau du commissaire à l'information. (ICO). Nous assurons le suivi avec le National Reporting Center du Royaume-Uni sur la fraude et la cybercriminalité (Action Fraud). Conformément à la loi britannique, nous n'avons pas payé et ne paierons aucune demande d'extorsion.

Nous avons continué à correspondre avec l'individu pour vérifier quelles données avaient été compromises. Au fil de plusieurs courriels, il est devenu clair que beaucoup de leurs affirmations étaient sans fondement, car ils prétendaient avoir des copies du code source de l'entreprise dans un format qui n'a jamais existé, du code copié à partir d'outils qui n'ont jamais été utilisés chez Reincubate, des types de données nous n'avons jamais stocké et sauvegardé des bases de données et des systèmes à partir de dates et d'heures bien après la mise hors service de ces systèmes.

Nous avons identifié la cause de la violation comme un ensemble d'informations d'identification AWS qui avaient été divulguées lors d'un incident distinct chez Datadog, un service de surveillance du cloud que nous avons utilisé. Nous avons révoqué ces informations d'identification à l'époque, mais le processus que nous avons utilisé pour les révoquer a échoué et nous n'avons pas réussi à vérifier que la modification avait été effectuée avec succès. Nous n'utilisons plus Datadog, et le membre du personnel dans ce rôle a quitté l'entreprise peu de temps après cet incident.

Nous avons déterminé qu'une ou plusieurs sauvegardes de bases de données datant de novembre 2017 stockées dans un compartiment de stockage privé Amazon Web Services (AWS) S3 avaient été consultées récemment à l'aide des informations d'identification divulguées. Peu de sauvegardes étaient présentes et facilement accessibles dans le compartiment, car nous avons abandonné l'utilisation régulière de S3 pour les sauvegardes la même année, et les données ont été automatiquement rendues inaccessibles avec le service Glacier d'Amazon. Aucun système actif n'a été affecté par la vulnérabilité de sécurité. Les données en question datent de 3 ans.

Grâce à une communication continue avec l'individu, nous pensons qu'il peut avoir l'intention de publier les données limitées qu'il a obtenues.

Comment nous avons répondu

Nous avons révoqué ou changé toutes nos informations d'identification AWS. Au cours des prochaines semaines, nous arrêterons d'utiliser AWS S3 pour le stockage des sauvegardes héritées. (Nous avons complètement arrêté de déplacer les sauvegardes vers AWS en 2018, et presque toutes les sauvegardes ont été stockées dans le système Glacier d'Amazon et étaient inaccessibles) Nous prévoyons d'arrêter complètement d'utiliser AWS au cours des prochains mois, permettant à nos équipes d'exploitation de rester concentrées sur l'amélioration et sécuriser nos services sur Google Cloud Platform.

Bien que nous effectuions déjà des examens périodiques de notre utilisation des services de cloud computing, nous mettons en place des examens trimestriels des informations d'identification sur tous les systèmes pour nous assurer que les informations d'identification inutilisées ou potentiellement exposées sont correctement retirées. Ceci, couplé à nos changements pour consolider notre empreinte d'hébergement cloud, donnera à nos équipes une base plus solide pour opérer et minimiser la récurrence d'un tel incident.

Reincubate a publié une politique de divulgation responsable depuis plusieurs années maintenant, et nous continuons à travailler de manière fructueuse avec des chercheurs en sécurité éthique sur une base ad hoc. Conformément à notre politique de confidentialité, nous stockons des données très limitées des utilisateurs et nous continuerons d'examiner régulièrement les données que nous stockons et comment.

Le bureau du commissaire à l'information du Royaume-Uni n'a pas déterminé que nous devions communiquer cet incident aux utilisateurs à ce stade. Cependant, conformément à nos valeurs , nous avons écrit de manière proactive pour informer les utilisateurs de la période concernée, que nous pensons que l'accès a été obtenu aux sauvegardes contenant leurs détails.

Nous continuerons à mettre à jour les utilisateurs (et cet article) à mesure que de plus amples informations seront disponibles.

Pouvons-nous améliorer cet article?

Nous aimons entendre les utilisateurs: pourquoi ne pas nous envoyer un email, laisser un commentaire ou tweet @reincubate?

© 2008 - 2021 Reincubate Ltd. Tous droits réservés. Enregistré en Angleterre et au Pays de Galles #5189175, VAT GB151788978. Reincubate® et Camo® sont des marques déposées. Politique de confidentialité & termes. Construit avec à Londres.