Incidente di sicurezza, ottobre 2020
Sto scrivendo oggi di un incidente di sicurezza che potrebbe aver esposto i dati dagli account Reincubate degli utenti.
Questi sono gli account creati automaticamente sul nostro sito quando gli utenti hanno acquistato iPhone Backup Extractor o altri prodotti. Non includono dati da dispositivi o backup o dati di carte di credito .
I dati provengono da un backup che abbiamo creato a novembre 2017. Abbiamo reimpostato automaticamente le password per Reincubare gli account utente: questi sono e sono sempre stati crittografati in modo sicuro. Tutti gli account creati successivamente a tale data rimangono inalterati.
I dati possono includere nomi e indirizzi e-mail e, per alcuni utenti, indirizzi di fatturazione e metadati sull'utilizzo dei nostri prodotti e servizi. Abbiamo inviato un'e-mail direttamente a tutti gli utenti potenzialmente interessati per spiegare in quale categoria rientrano. Per la maggior parte, questo è limitato al nome e all'indirizzo e-mail .
Quello che è successo
Quasi a mezzanotte di domenica 18 ottobre 2020, abbiamo ricevuto un'e-mail anonima da un individuo che affermava che i dati erano stati consultati dal sito Reincubate attraverso una vulnerabilità, richiedendo il pagamento in Bitcoin per evitare che le informazioni venissero pubblicate.
Quando abbiamo ritirato il rapporto domenica mattina, ci siamo messi al lavoro per identificare quali dati erano coinvolti e come erano stati ottenuti. Abbiamo ricontattato per stabilire se la persona stesse segnalando la violazione secondo i termini della nostra politica di divulgazione responsabile della sicurezza .
Poiché l'individuo si è rifiutato di rivelare la fonte della violazione o il mezzo per ottenere i dati e ha continuato a insistere sul pagamento urgente per evitare il rilascio dei dati, abbiamo presentato una relazione all'autorità competente nel Regno Unito, l'Ufficio del Commissario per le informazioni. (ICO). Stiamo seguendo il National Reporting Centre for Fraud and Cyber Crime (Action Fraud) del Regno Unito. In conformità con la legge del Regno Unito, non abbiamo e non pagheremo alcuna richiesta di estorsione.
Abbiamo continuato a corrispondere con l'individuo per accertare quali dati fossero stati compromessi. Nel corso di diverse e-mail, è diventato chiaro che molte delle loro affermazioni erano prive di fondamento, poiché asserivano di avere copie del codice sorgente dell'azienda in un formato che non è mai esistito, codice copiato da strumenti che non sono mai stati utilizzati a Reincubate, tipi di dati non abbiamo mai archiviato e backup di database e sistemi da date e orari molto tempo dopo che tali sistemi erano stati disattivati.
Abbiamo identificato la causa della violazione come una serie di credenziali AWS che erano trapelate in un incidente separato presso Datadog, un servizio di monitoraggio del cloud che abbiamo utilizzato. Abbiamo revocato queste credenziali in quel momento, ma il processo che abbiamo utilizzato per revocarle non è riuscito e non siamo riusciti a ricontrollare che la modifica fosse stata apportata correttamente. Non utilizziamo più Datadog e il membro del personale in questo ruolo ha lasciato l'azienda poco dopo l'incidente.
Abbiamo stabilito che uno o più di un piccolo numero di backup di database risalenti a novembre 2017 archiviati in un bucket di archiviazione S3 di Amazon Web Services (AWS) privato è stato eseguito di recente utilizzando le credenziali trapelate. Pochi backup erano presenti e prontamente accessibili nel bucket, poiché nello stesso anno abbiamo abbandonato l'uso regolare di S3 per i backup ei dati sono stati resi automaticamente inaccessibili con il servizio Glacier di Amazon. Nessun sistema attivo è stato interessato dalla vulnerabilità di sicurezza. I dati in questione risalgono a 3 anni fa.
Attraverso la comunicazione continua con l'individuo, riteniamo che possa voler pubblicare i dati limitati che ha ottenuto.
Come abbiamo risposto
Abbiamo revocato o ruotato tutte le nostre credenziali AWS. Nelle prossime settimane interromperemo l'utilizzo di AWS S3 per l'archiviazione dei backup legacy. (Abbiamo interrotto del tutto lo spostamento dei backup in AWS nel 2018 e quasi tutti i backup sono stati archiviati nel sistema Glacier di Amazon ed erano inaccessibili) Abbiamo in programma di interrompere completamente l'uso di AWS nei prossimi mesi, consentendo ai nostri team operativi di concentrarsi sul miglioramento e proteggere i nostri servizi su Google Cloud Platform.
Sebbene eseguiamo già revisioni periodiche del nostro utilizzo dei servizi di cloud computing, stiamo mettendo in atto revisioni trimestrali delle credenziali su tutti i sistemi per garantire che le credenziali inutilizzate o potenzialmente esposte vengano ritirate correttamente. Questo, insieme alle nostre modifiche per consolidare la nostra impronta di hosting cloud, fornirà ai nostri team una base più solida su cui operare e ridurre al minimo il ripetersi di tali incidenti.
Reincubate ha pubblicato una politica di divulgazione responsabile da diversi anni ormai e continuiamo a lavorare fruttuosamente con ricercatori sulla sicurezza etica su base ad hoc. In base alla nostra politica sulla privacy, memorizziamo dati molto limitati dagli utenti e continueremo a rivedere regolarmente quali dati archiviamo e come.
L'ufficio del Commissario per le informazioni del Regno Unito non ha stabilito che dobbiamo comunicare questo incidente agli utenti a questo punto. Tuttavia, in conformità con i nostri valori , abbiamo scritto in modo proattivo per informare gli utenti dal periodo interessato, indipendentemente dal fatto che riteniamo che sia stato ottenuto l'accesso ai backup contenenti i loro dettagli.
Continueremo ad aggiornare gli utenti (e questo post) non appena saranno disponibili ulteriori informazioni.
