Инцидент безопасности, октябрь 2020 г.

опубликованный обновленный

Я пишу сегодня об инциденте безопасности, который мог привести к раскрытию данных из учетных записей пользователей Reincubate.

Эти учетные записи автоматически создаются на нашем сайте, когда пользователи приобретают iPhone Backup Extractor или другие продукты. Они не включают данные с устройств или резервных копий, а также данные кредитной карты .

Данные взяты из резервной копии, которую мы создали в ноябре 2017 года. Мы автоматически сбрасываем пароли для учетных записей пользователей Reincubate: они были и всегда были надежно зашифрованы. Никакие учетные записи, созданные после этой даты, не затронуты.

Данные могут включать имена и адреса электронной почты, а также - для некоторых пользователей - адреса для выставления счетов и метаданные об использовании наших продуктов и услуг. Мы разослали по электронной почте всем потенциально затронутым пользователям напрямую, чтобы объяснить, к какой категории они относятся. Для большинства это ограничивается именем и адресом электронной почты .

Что случилось

Ближе к полуночи в воскресенье, 18 октября 2020 года, мы получили анонимное электронное письмо от человека, который утверждал, что доступ к данным был получен с сайта Reincubate через уязвимость, с запросом оплаты в биткойнах, чтобы предотвратить публикацию информации.

Когда мы забрали отчет в воскресенье утром, мы принялись за работу, чтобы определить, какие данные были задействованы и как они были получены. Мы отправили ответ, чтобы установить, сообщало ли данное лицо о нарушении в соответствии с нашей политикой ответственного раскрытия информации о безопасности .

Поскольку лицо отказалось раскрыть источник нарушения или способы получения данных, и продолжало настаивать на срочной оплате, чтобы избежать разглашения данных, мы подали отчет в соответствующий орган в Великобритании, Офис комиссара по информации. (ICO). Мы работаем с Национальным центром по сообщениям о мошенничестве и киберпреступлениях Великобритании (Action Fraud). В соответствии с законодательством Великобритании мы не выполняем и не будем оплачивать запросы о вымогательстве.

Мы продолжали переписываться с человеком, чтобы выяснить, какие данные были скомпрометированы. В ходе нескольких электронных писем стало ясно, что многие из их утверждений безосновательны, поскольку они утверждали, что у них есть копии исходного кода компании в формате, которого никогда не существовало, код скопирован из инструментов, которые никогда не использовались в Reincubate, типы данных мы никогда не хранили и не хранили резервные копии баз данных и систем с дат и времени спустя много времени после того, как такие системы были выведены из эксплуатации.

Мы определили причину взлома как набор учетных данных AWS, утечка которых произошла в ходе отдельного инцидента в Datadog, сервисе облачного мониторинга, который мы использовали. Мы отозвали эти учетные данные в то время, но процесс, который мы использовали для их отзыва, не удался, и нам не удалось дважды проверить, что изменение было выполнено успешно. Мы больше не используем Datadog, и сотрудник в этой роли покинул бизнес вскоре после этого инцидента.

Мы определили, что к одной или нескольким из небольшого количества резервных копий базы данных, датируемых ноябрем 2017 года, которые хранятся в частной корзине хранения S3 Amazon Web Services (AWS), недавно был осуществлен доступ с использованием утекших учетных данных. Несколько резервных копий присутствовали и были легко доступны в корзине, поскольку в том же году мы отказались от регулярного использования S3 для резервного копирования, и данные автоматически стали недоступны с помощью сервиса Amazon Glacier. Уязвимость не затронула ни одну из активных систем. Речь идет о трехлетних данных.

Мы полагаем, что благодаря постоянному общению с физическим лицом они могут намереваться опубликовать ограниченные данные, которые они получили.

Как мы ответили

Мы отозвали или изменили все наши учетные данные AWS. В ближайшие недели мы прекратим использование AWS S3 для хранения устаревших резервных копий. (Мы вообще прекратили перенос резервных копий на AWS в 2018 году, и почти все резервные копии хранились в системе Amazon Glacier и были недоступны). Мы планируем полностью прекратить использование AWS в ближайшие месяцы, что позволит нашим операционным группам сосредоточиться на улучшении и обеспечение безопасности наших сервисов на Google Cloud Platform.

Хотя мы уже проводим периодические проверки использования служб облачных вычислений, мы проводим ежеквартальные проверки учетных данных во всех системах, чтобы гарантировать, что неиспользованные или потенциально открытые учетные данные удаляются правильно. Это в сочетании с нашими изменениями, направленными на консолидацию нашего облачного хостинга, даст нашим командам более прочную основу для работы и минимизирует повторение таких инцидентов.

Reincubate уже несколько лет публикует политику ответственного раскрытия информации , и мы продолжаем плодотворно работать с исследователями этической безопасности на разовой основе. В соответствии с нашей политикой конфиденциальности мы храним очень ограниченные данные от пользователей, и мы продолжим регулярно проверять, какие данные мы храним и как.

Управление Комиссара по информации Великобритании еще не решило, что нам нужно сообщать об этом инциденте пользователям. Однако, в соответствии с нашими ценностями , мы заранее писали, чтобы уведомить пользователей из затронутого периода, независимо от того, полагаем ли мы, что был получен доступ к резервным копиям, содержащим их данные.

Мы продолжим обновлять пользователей (и этот пост) по мере появления дополнительной информации.

Можем ли мы улучшить эту статью?

Нам нравится слышать от пользователей: почему бы не написать нам электронное письмо, оставить комментарий или написать в Твиттере @reincubate?

© 2008 - 2021 Reincubate Ltd. Все права защищены. Зарегистрировано в Англии и Уэльсе #5189175, VAT GB151788978. Reincubate® и Camo® являются зарегистрированными товарными знаками. Политика конфиденциальности & условия. Построен с в Лондоне.