보안 사고, 2020 년 10 월
저는 오늘 사용자의 Reincubate 계정에서 데이터를 노출했을 수있는 보안 사고에 대해 작성했습니다.
사용자가 iPhone Backup Extractor 또는 기타 제품을 구매할 때 당사 사이트에서 자동으로 생성 된 계정입니다. 여기 에는 기기 나 백업의 데이터 또는 신용 카드 데이터가 포함되지 않습니다 .
데이터는 2017 년 11 월에 생성 한 백업에서 가져온 것입니다. Reincubate 사용자 계정에 대한 비밀번호를 자동으로 재설정했습니다.이 계정은 항상 안전하게 암호화되었습니다. 해당 날짜 이후에 생성 된 모든 계정은 영향을받지 않습니다.
데이터에는 이름과 이메일 주소, 일부 사용자의 경우 제품 및 서비스 사용에 대한 청구 주소 및 메타 데이터가 포함될 수 있습니다. 영향을받을 수있는 모든 사용자에게 직접 이메일을 보내 해당 사용자가 속한 카테고리를 설명했습니다. 대다수의 경우 이름과 이메일 주소로 제한됩니다 .
어떻게 된 거예요
2020 년 10 월 18 일 일요일 자정에 가까운 개인으로부터 익명의 이메일을 받았는데, 이는 취약점을 통해 Reincubate 사이트에서 데이터에 액세스했다고 주장하며 정보가 게시되지 않도록 비트 코인으로 지불을 요청했습니다.
일요일 아침에 보고서를 수집했을 때 우리는 어떤 데이터가 관련되어 있고 어떻게 수집되었는지 확인하기 위해 작업을 시작했습니다. 우리는 개인이 우리의 책임있는 보안 공개 정책 의 조건에 따라 위반을보고했는지 여부를 확인하기 위해 답장했습니다.
개인이 위반의 원인이나 데이터를 획득 한 수단을 공개하는 것을 거부하고 데이터 공개를 피하기 위해 긴급한 지불을 계속 주장함에 따라, 우리는 영국의 관련 당국 인 정보 커미셔너 실에 보고서를 제출했습니다. (ICO). 영국의 사기 및 사이버 범죄 신고 센터 (액션 사기)에 대한 후속 조치를 취하고 있습니다. 영국 법률에 따라 우리는 강탈 요청을하지 않았으며 지불하지 않을 것입니다.
우리는 개인과 계속해서 연락하여 어떤 데이터가 손상되었는지 확인했습니다. 여러 이메일을 통해 회사의 소스 코드 사본이 존재하지 않았던 형식, Reincubate에서 한 번도 사용되지 않은 도구에서 복사 된 코드, 데이터 유형이 있다고 주장했기 때문에 많은 주장이 근거가 없음이 분명해졌습니다. 우리는 그러한 시스템이 폐기 된 지 오래 된 날짜와 시간의 데이터베이스 및 시스템 백업을 저장 한 적이 없습니다.
우리는 우리가 사용한 클라우드 모니터링 서비스 인 Datadog에서 별도의 사고 에서 유출 된 AWS 자격 증명 집합으로 침해의 원인을 식별했습니다. 당시에 이러한 자격 증명을 해지했지만 해지하는 데 사용한 프로세스가 실패했으며 변경이 성공적으로 이루어 졌는지 다시 확인하지 못했습니다. 우리는 더 이상 Datadog을 사용하지 않으며이 역할을 맡은 직원은 사고 직후 퇴사했습니다.
최근에 유출 된 자격 증명을 사용하여 프라이빗 Amazon Web Services (AWS) S3 스토리지 버킷에 저장된 2017 년 11 월의 소규모 데이터베이스 백업 중 하나 이상에 액세스 한 것으로 확인되었습니다. 같은 해에 백업을 위해 S3를 정기적으로 사용하지 않고 마이그레이션하면서 Amazon의 Glacier 서비스를 통해 데이터에 자동으로 액세스 할 수 없게 되었기 때문에 버킷에 백업이 거의 없었고 쉽게 액세스 할 수있었습니다. 보안 취약점의 영향을받는 활성 시스템은 없습니다. 문제의 데이터는 3 년 전입니다.
개인과의 지속적인 의사 소통을 통해 그들이 얻은 제한된 데이터를 게시 할 의도가있을 수 있습니다.
대응 방법
모든 AWS 자격 증명을 취소하거나 교체했습니다. 앞으로 몇 주 동안 레거시 백업 스토리지에 AWS S3 사용을 중단 할 예정입니다. (2018 년에 AWS 로의 백업 이동을 완전히 중단했고 거의 모든 백업이 Amazon의 Glacier 시스템에 저장되어 액세스 할 수 없었습니다.) 앞으로 몇 달 동안 AWS 사용을 완전히 중단하여 운영 팀이 개선에 집중할 수 있도록 할 계획입니다. Google Cloud Platform에서 서비스를 보호합니다.
이미 클라우드 컴퓨팅 서비스 사용에 대한 정기적 인 검토를 수행하고 있지만, 사용되지 않거나 잠재적으로 노출 된 자격 증명이 올바르게 폐기되었는지 확인하기 위해 모든 시스템에서 분기별로 자격 증명을 검토하고 있습니다. 이는 클라우드 호스팅 공간을 통합하기위한 변경 사항과 함께 팀이 이러한 사고의 재발을 최소화하고 운영 할 수있는 강력한 기반을 제공 할 것입니다.
Reincubate는 몇 년 동안 책임있는 공개 정책 을 발표했으며, 우리는 임시로 윤리적 보안 연구원과 지속적으로 협력하고 있습니다. 당사의 개인 정보 보호 정책에 따라 당사는 사용자의 매우 제한된 데이터를 저장하며 당사가 저장하는 데이터와 방법을 정기적으로 계속 검토 할 것입니다.
영국 정보국은 현재이 사건을 사용자에게 알려야한다고 결정하지 않았습니다. 그러나 우리의 가치 에 따라 사용자의 세부 정보가 포함 된 백업에 대한 액세스 권한을 얻었는지 여부에 관계없이 영향을받는 기간부터 사용자에게 알리기 위해 사전에 작성했습니다.
추가 정보가 제공되면 사용자 (및이 게시물)를 계속 업데이트 할 것입니다.