Beveiligingsincident, oktober 2020
Ik schrijf vandaag over een beveiligingsincident dat mogelijk gegevens heeft blootgelegd uit de Reincubate-accounts van gebruikers.
Dit zijn de accounts die automatisch op onze site worden aangemaakt wanneer gebruikers iPhone Backup Extractor of andere producten hebben gekocht. Ze bevatten geen gegevens van apparaten of back-ups, of creditcardgegevens .
De gegevens zijn afkomstig van een back-up die we in november 2017 hebben gemaakt. We hebben automatisch wachtwoorden gereset voor Reincubate-gebruikersaccounts: deze zijn en zijn altijd veilig versleuteld. Accounts die na die datum zijn aangemaakt, blijven onaangetast.
De gegevens kunnen namen en e-mailadressen bevatten, en - voor sommige gebruikers - factuuradressen en metagegevens over het gebruik van onze producten en diensten. We hebben alle mogelijk getroffen gebruikers rechtstreeks een e-mail gestuurd om uit te leggen in welke categorie ze vallen. Voor het merendeel is dit beperkt tot naam en e-mailadres .
Wat is er gebeurd
Op zondag 18 oktober 2020, tegen middernacht, ontvingen we een anonieme e-mail van een persoon die beweerde dat er toegang was verkregen tot gegevens van de Reincubate-site via een kwetsbaarheid, met het verzoek om betaling in Bitcoin om te voorkomen dat de informatie werd gepubliceerd.
Toen we het rapport zondagochtend ophaalden, gingen we aan de slag om te achterhalen om welke gegevens het ging en hoe deze waren verkregen. We schreven terug om vast te stellen of de persoon de schending rapporteerde volgens de voorwaarden van ons beleid inzake openbaarmaking van verantwoordelijke beveiliging .
Omdat de persoon weigerde de bron van de inbreuk of de manier waarop de gegevens waren verkregen bekend te maken, en bleef aandringen op dringende betaling om vrijgave van de gegevens te voorkomen, dienden we een rapport in bij de relevante autoriteit in het VK, het Information Commissioner's Office. (ICO). We nemen contact op met het Britse National Reporting Centre for Fraud and Cyber Crime (Action Fraud). In overeenstemming met de Britse wetgeving hebben we en zullen we geen afpersingsverzoeken betalen.
We bleven met de persoon corresponderen om erachter te komen welke gegevens gecompromitteerd waren. In de loop van verschillende e-mails werd duidelijk dat veel van hun beweringen ongegrond waren, omdat ze beweerden kopieën te hebben van de broncode van het bedrijf in een formaat dat nooit bestond, code gekopieerd van tools die nooit bij Reincubate zijn gebruikt, soorten gegevens we hebben nooit opgeslagen, en back-ups van databases en systemen van data en tijden lang nadat dergelijke systemen buiten gebruik waren gesteld.
We identificeerden de oorzaak van de inbreuk als een set AWS-inloggegevens die waren gelekt bij een afzonderlijk incident bij Datadog, een cloudbewakingsservice die we gebruikten. We hebben deze inloggegevens destijds ingetrokken, maar het proces dat we gebruikten om ze in te trekken, is mislukt en we konden niet dubbel controleren of de wijziging was doorgevoerd. We gebruiken Datadog niet meer en de medewerker in deze rol heeft het bedrijf kort na dat incident verlaten.
We hebben vastgesteld dat een of meer van een klein aantal databaseback-ups van november 2017, opgeslagen in een privé Amazon Web Services (AWS) S3-opslagbucket, onlangs is geopend met behulp van de gelekte inloggegevens. Er waren maar weinig back-ups aanwezig en gemakkelijk toegankelijk in de bucket, omdat we datzelfde jaar migreerden van het reguliere gebruik van S3 voor back-ups, en gegevens automatisch ontoegankelijk werden gemaakt met de Glacier-service van Amazon. Er zijn geen actieve systemen getroffen door het beveiligingsprobleem. De gegevens in kwestie zijn 3 jaar oud.
Door voortdurende communicatie met het individu denken we dat ze van plan zijn de beperkte gegevens die ze hebben verkregen te publiceren.
Hoe we hebben gereageerd
We hebben al onze AWS-inloggegevens ingetrokken of geroteerd. In de komende weken stoppen we met het gebruik van AWS S3 voor opslag van legacy-back-ups. (We zijn in 2018 helemaal gestopt met het verplaatsen van back-ups naar AWS, en bijna alle back-ups werden opgeslagen in het Glacier-systeem van Amazon en waren niet toegankelijk) We zijn van plan het gebruik van AWS in de komende maanden volledig stop te zetten, zodat onze operationele teams zich kunnen blijven concentreren op verbetering en het beveiligen van onze services op Google Cloud Platform.
Hoewel we al periodieke beoordelingen uitvoeren van ons gebruik van cloud computing-services, voeren we driemaandelijkse beoordelingen uit van inloggegevens op alle systemen om ervoor te zorgen dat ongebruikte of mogelijk blootgestelde inloggegevens correct worden ingetrokken. Dit, in combinatie met onze wijzigingen om onze voetafdruk in de cloudhosting te consolideren, zal onze teams een sterkere basis geven om te opereren en de herhaling van een dergelijk incident tot een minimum te beperken.
Reincubate heeft al een aantal jaren een beleid voor verantwoorde openbaarmaking gepubliceerd en we blijven op een vruchtbare manier samenwerken met ethische beveiligingsonderzoekers op ad-hocbasis. Volgens ons privacybeleid slaan we zeer beperkte gegevens van gebruikers op, en we zullen regelmatig blijven bekijken welke gegevens we opslaan en hoe.
Het Britse Information Commissioner's Office heeft op dit moment niet bepaald dat we dit incident aan gebruikers moeten melden. In overeenstemming met onze waarden hebben we echter proactief geschreven om gebruikers uit de betreffende periode op de hoogte te stellen, ongeacht of we denken dat er toegang is verkregen tot back-ups met hun gegevens.
We zullen gebruikers (en dit bericht) blijven updaten naarmate er meer informatie beschikbaar komt.