セキュリティインシデント、2020年10月

公開済み 更新しました

私は今日、ユーザーのReincubateアカウントからのデータを公開した可能性のあるセキュリティインシデントについて書いています。

これらは、ユーザーがiPhone BackupExtractorまたはその他の製品を購入したときに当サイトで自動的に作成されるアカウントです。デバイスやバックアップからのデータ、またはクレジットカードデータは含まれません

データは、2017年11月に作成したバックアップから取得されます。Reincubateユーザーアカウントのパスワードは自動的にリセットされます。これらは常に安全に暗号化されています。その日付以降に作成されたアカウントは影響を受けません。

データには、名前と電子メールアドレス、および一部のユーザーの場合は、当社の製品とサービスの使用に関する請求先住所とメタデータが含まれる場合があります。影響を受ける可能性のあるすべてのユーザーに直接メールを送信して、どのカテゴリに分類されるかを説明しました。ほとんどの場合、これは名前と電子メールアドレスに制限されています

どうした

2020年10月18日日曜日の真夜中近くに、脆弱性を介してReincubateサイトからデータにアクセスしたと主張する個人から匿名の電子メールを受け取り、情報の公開を阻止するためにビットコインでの支払いを要求しました。

日曜日の朝にレポートを受け取ったとき、どのデータが関係していて、どのように取得されたかを特定するために作業を開始しました。私たちは、責任あるセキュリティ開示ポリシーの条件に基づいて、個人が違反を報告していたかどうかを確認するために返信しました。

個人が違反の原因やデータを取得した手段の開示を拒否し、データの公開を避けるために緊急の支払いを主張し続けたため、英国の関連当局である情報コミッショナーオフィスに報告を提出しました。 (ICO)。英国の詐欺およびサイバー犯罪に関する全国報告センター(アクション詐欺)をフォローアップしています。英国の法律に従い、恐喝の要求はありません。

私たちは引き続き個人と連絡を取り、どのデータが侵害されたかを確認しました。いくつかの電子メールの過程で、彼らの主張の多くは根拠がないことが明らかになりました。彼らは、会社のソースコードのコピーを存在しなかった形式で、Reincubateで使用されたことのないツールからコピーされたコード、データの種類を持っていると主張したからです。データベースとシステムのバックアップは、そのようなシステムが廃止されてからずっと後の日時から保存されたことはありません。

違反の原因は、使用したクラウドモニタリングサービスであるDatadogでの別のインシデントでリークされた一連のAWS認証情報であると特定しました。当時、これらの資格情報を取り消しましたが、それらを取り消すために使用したプロセスが失敗し、変更が正常に行われたことを再確認できませんでした。私たちはDatadogを使用しなくなり、この役割のスタッフはその事件の直後に会社を辞めました。

プライベートアマゾンウェブサービス(AWS)S3ストレージバケットに保存されている2017年11月の少数のデータベースバックアップのうち1つ以上が、リークされた認証情報を使用して最近アクセスされたと判断しました。同じ年にバックアップにS3を通常使用することから移行し、AmazonのGlacierサービスでデータに自動的にアクセスできなくなったため、バックアップはほとんど存在せず、バケット内ですぐにアクセスできました。セキュリティの脆弱性の影響を受けたアクティブなシステムはありません。問題のデータは3年前のものです。

個人との継続的なコミュニケーションを通じて、彼らが取得した限られたデータを公開するつもりであると私たちは信じています。

私たちがどのように対応したか

AWS認証情報をすべて取り消すかローテーションしました。今後数週間で、レガシーバックアップの保存のためのAWSS3の使用を停止します。 (2018年にバックアップのAWSへの移動を完全に停止し、ほとんどすべてのバックアップがAmazonのGlacierシステムに保存され、アクセスできなくなりました)今後数か月にわたってAWSの使用を完全に中止し、運用チームが改善に集中できるようにする予定です。 Google CloudPlatformでのサービスの保護。

クラウドコンピューティングサービスの使用状況についてはすでに定期的なレビューを行っていますが、未使用または公開される可能性のある資格情報が正しく廃止されるように、すべてのシステムで資格情報の四半期ごとのレビューを実施しています。これは、クラウドホスティングのフットプリントを統合するための変更と相まって、チームがそのようなインシデントの再発を最小限に抑えて運用するためのより強力な基盤を提供します。

Reincubateは、責任ある開示ポリシーを数年前から公開しており、倫理的なセキュリティ研究者とアドホックベースで実りある協力を続けています。プライバシーポリシーに従い、ユーザーからの非常に限られたデータを保存し、保存するデータとその方法を定期的に確認します。

英国の情報コミッショナーオフィスは、現時点でこの事件をユーザーに伝える必要があるとは判断していません。ただし、当社の価値観に従って、詳細を含むバックアップへのアクセスが取得されたと思われるかどうかに関係なく、影響を受けた期間からユーザーに通知するように積極的に作成しました。

詳細情報が利用可能になり次第、ユーザー(およびこの投稿)を更新し続けます。

この記事を改善できますか?

ユーザーからの連絡をお待ちしています。電子メールを送信したり、コメントを残したり、ツイートしたりしないでください。 @reincubate?

© 2008 - 2021 Reincubate Ltd. 無断複写・転載を禁じます。 イングランドとウェールズに登録 #5189175, VAT GB151788978. Reincubate®およびCamo®は登録商標です。 個人情報保護方針 & 条項. ロンドンで愛と建てられた。