Incidente de segurança, outubro de 2020
Estou escrevendo hoje sobre um incidente de segurança que pode ter exposto dados de contas de usuários Reincubar.
Essas são as contas criadas automaticamente em nosso site conforme os usuários compravam o iPhone Backup Extractor ou outros produtos. Eles não incluem dados de dispositivos ou backups ou dados de cartão de crédito .
Os dados vêm de um backup que criamos em novembro de 2017. Redefinimos automaticamente as senhas para Reincubar contas de usuário: essas são e sempre foram criptografadas com segurança. Todas as contas criadas após essa data não são afetadas.
Os dados podem incluir nomes e endereços de e-mail e - para alguns usuários - endereços de cobrança e metadados sobre o uso de nossos produtos e serviços. Enviamos um e-mail a todos os usuários potencialmente afetados para explicar em qual categoria eles se enquadram. Para a maioria, isso se limita ao nome e endereço de e-mail .
O que aconteceu
Perto da meia-noite de domingo, 18 de outubro de 2020, recebemos um e-mail anônimo de um indivíduo alegando que os dados foram acessados do site Reincubar por meio de uma vulnerabilidade, solicitando pagamento em Bitcoin para impedir que as informações sejam publicadas.
Quando recebemos o relatório na manhã de domingo, começamos a trabalhar para identificar quais dados estavam envolvidos e como eles foram obtidos. Respondemos para determinar se o indivíduo estava relatando a violação de acordo com os termos de nossa política de divulgação de segurança responsável .
Como o indivíduo se recusou a divulgar a fonte da violação ou os meios pelos quais os dados foram obtidos e continuou a insistir no pagamento urgente para evitar a divulgação dos dados, apresentamos um relatório à autoridade competente no Reino Unido, o Information Commissioner's Office (ICO). Estamos fazendo o acompanhamento com o Centro Nacional de Denúncias de Fraudes e Crimes Cibernéticos do Reino Unido (Fraude por Ação). De acordo com a lei do Reino Unido, não pagamos e não pagaremos nenhum pedido de extorsão.
Continuamos a nos corresponder com o indivíduo para verificar quais dados haviam sido comprometidos. Ao longo de vários e-mails, ficou claro que muitas de suas afirmações eram infundadas, pois alegavam ter cópias do código-fonte da empresa em um formato que nunca existiu, código copiado de ferramentas que nunca foram usadas na Reincubar, tipos de dados nunca armazenamos e backups de bancos de dados e sistemas de datas e horários muito depois de esses sistemas terem sido desativados.
Identificamos a causa da violação como um conjunto de credenciais da AWS que vazou em um incidente separado no Datadog, um serviço de monitoramento em nuvem que usamos. Revogamos essas credenciais na época, mas o processo que usamos para revogá-las falhou e não verificamos se a alteração foi feita com sucesso. Não usamos mais o Datadog, e o membro da equipe com essa função deixou a empresa logo após o incidente.
Determinamos que um ou mais de um pequeno número de backups de banco de dados datados de novembro de 2017, armazenados em um depósito de armazenamento S3 da Amazon Web Services (AWS) privado, foram acessados recentemente usando as credenciais vazadas. Poucos backups estavam presentes e prontamente acessíveis no bucket, conforme migramos do uso regular do S3 para backups naquele mesmo ano, e os dados foram automaticamente tornados inacessíveis com o serviço Glacier da Amazon. Nenhum sistema ativo foi afetado pela vulnerabilidade de segurança. Os dados em questão têm 3 anos.
Por meio da comunicação contínua com o indivíduo, acreditamos que ele pode ter a intenção de publicar os dados limitados que obteve.
Como respondemos
Revogamos ou revogamos todas as nossas credenciais da AWS. Nas próximas semanas, interromperemos o uso do AWS S3 para armazenamento de backups legados. (Paramos de mover backups para a AWS em 2018 por completo, e quase todos os backups foram armazenados no sistema Glacier da Amazon e estavam inacessíveis). Planejamos descontinuar completamente o uso da AWS nos próximos meses, permitindo que nossas equipes de operações mantenham o foco na melhoria e proteger nossos serviços no Google Cloud Platform.
Embora já realizemos revisões periódicas de nosso uso de serviços de computação em nuvem, estamos realizando revisões trimestrais de credenciais em todos os sistemas para garantir que as credenciais não utilizadas ou potencialmente expostas sejam retiradas corretamente. Isso, juntamente com nossas mudanças para consolidar nossa pegada de hospedagem em nuvem, dará às nossas equipes uma base mais sólida para operar e minimizar a recorrência de tal incidente.
A Reincubate publicou uma política de divulgação responsável há vários anos e continuamos a trabalhar frutuosamente com pesquisadores de segurança ética em uma base ad hoc. De acordo com nossa política de privacidade, armazenamos dados muito limitados dos usuários e continuaremos a revisar regularmente quais dados armazenamos e como.
O Gabinete do Comissário de Informação do Reino Unido não determinou que precisamos comunicar este incidente aos usuários neste momento. No entanto, de acordo com nossos valores , escrevemos proativamente para notificar os usuários do período afetado, independentemente de acreditarmos se o acesso foi obtido para backups contendo seus detalhes.
Continuaremos atualizando os usuários (e esta postagem) conforme mais informações estiverem disponíveis.