2020年10月的安全事件

我今天写的是一篇有关安全事件的信息，该事件可能暴露了用户的“重新孵化”帐户中的数据。

这些是用户购买iPhone Backup Extractor或其他产品时在我们的网站上自动创建的帐户。它们不包括来自设备或备份的数据或信用卡数据。

数据来自我们于2017年11月创建的备份。我们已自动将密码重置为“重新孵化”用户帐户：这些密码始终且一直被安全加密。在该日期之后创建的所有帐户均不受影响。

数据可能包括名称和电子邮件地址，以及（对于某些用户而言）有关我们产品和服务使用情况的账单地址和元数据。我们已直接向所有可能受影响的用户发送电子邮件，以说明他们属于哪个类别。对于大多数人，这仅限于姓名和电子邮件地址。

发生了什么

到2020年10月18日星期日午夜接近，我们收到了某人的匿名电子邮件，声称已通过漏洞从Reincubate网站访问了数据，要求以比特币付款以阻止信息发布。

当我们在周日上午提取报告时，我们将着手确定所涉及的数据以及如何获取这些数据。我们写信回信以确定该个人是否根据我们负责的安全披露政策的条款报告了违规行为。

由于个人拒绝透露违规的来源或获取数据的方式，并继续坚持紧急付款以避免数据泄露，因此我们向英国相关部门信息专员办公室提交了一份报告。 （ICO）。我们正在跟进英国国家欺诈与网络犯罪举报中心（行动欺诈）。根据英国法律，我们不会也不会支付任何勒索要求。

我们继续与个人联系，以确定哪些数据已被泄露。在几封电子邮件的过程中，很明显，他们的许多主张都是毫无根据的，因为他们声称拥有公司源代码的副本，其格式从不存在，从未经重新孵化的工具复制过的代码，数据类型我们从未存储过，也没有从此类系统停用后的日期和时间开始备份数据库和系统。

我们将违反的原因确定为一组AWS凭证，该凭证已在Datadog（我们使用的云监控服务）的另一事件中泄露。我们当时撤消了这些凭据，但是我们用来撤消它们的过程失败了，并且我们无法再次检查更改是否已成功完成。我们不再使用Datadog，在此事件发生后不久，担任该职位的工作人员就离开了公司。

我们确定最近使用泄露的凭证访问了私有Amazon Web Services（AWS）S3存储桶中存储的2017年11月日期的少量数据库备份中的一个或多个。当我们从同年不再使用S3进行备份迁移时，几乎没有备份可以在存储桶中访问，并且Amazon的Glacier服务自动使数据不可访问。此安全漏洞不会影响任何活动的系统。有问题的数据已有3年历史了。

通过与个人的持续沟通，我们认为他们可能打算发布他们获得的有限数据。

我们如何回应

我们已经撤销或轮换了所有AWS凭证。在接下来的几周内，我们将停止使用AWS S3来存储旧式备份。 （我们在2018年完全停止将备份转移到AWS，并且几乎所有备份都存储在Amazon的Glacier系统中，并且无法访问。）我们计划在接下来的几个月中完全停止使用AWS，从而使我们的运营团队能够继续专注于改进在Google Cloud Platform上确保我们的服务安全。

尽管我们已经对云计算服务的使用情况进行了定期检查，但我们将对所有系统的凭据进行季度检查，以确保正确使用未使用或可能暴露的凭据。这加上我们为巩固云托管覆盖范围而进行的更改，将为我们的团队提供一个更坚实的基础来进行操作，并最大程度地减少此类事件的再次发生。

Reincubate已经发布了负责任的披露政策已有好几年了，并且我们将继续与道德安全研究人员临时开展卓有成效的合作。根据我们的隐私权政策，我们存储来自用户的非常有限的数据，并且我们将继续定期检查我们存储的数据以及存储方式。

英国信息专员办公室目前还没有确定我们需要将此事件告知用户。但是，根据我们的价值观，我们已主动写信通知受影响的时期，无论我们是否认为已访问包含其详细信息的备份。

随着更多信息的出现，我们将继续更新用户（和这篇文章）。