Actualización sobre incidentes de seguridad y medidas de seguridad adicionales

Qué pasó

El 8 de abril, la cuenta SendGrid de un cliente relacionado con Bitcoin se vio comprometida y se usó para enviar correos electrónicos de phishing.

Inicialmente, creímos que esta apropiación de cuenta era un incidente aislado y trabajamos con nuestro cliente para ayudarlo a recuperar el control de su cuenta y minimizar el daño del ataque.

Después de una mayor investigación en colaboración con las fuerzas del orden y el Equipo de Respuesta a Incidentes de FireEye (Mandiant), nos dimos cuenta de que la cuenta de un empleado de SendGrid había sido comprometida por un ciberdelincuente y utilizada para acceder a varios de nuestros sistemas internos en tres fechas distintas en febrero y marzo de 2015. .

Estos sistemas contenían nombres de usuario, direcciones de correo electrónico y contraseñas (saladas e iterativamente cifradas) para cuentas de clientes y empleados de SendGrid. Además, la evidencia sugiere que los ciberdelincuentes accedieron a servidores que contenían algunas de las listas/direcciones de correo electrónico de destinatarios de nuestros clientes e información de contacto de clientes. No hemos encontrado ninguna evidencia forense de que se hayan robado las listas de clientes o la información de contacto de los clientes. Sin embargo, como medida de precaución, solicitamos un restablecimiento de contraseña en todo el sistema. Debido a que SendGrid no almacena las tarjetas de pago de los clientes, sabemos que la información de la tarjeta de pago no estuvo involucrada.

Tras el descubrimiento, tomamos medidas inmediatas para bloquear el acceso no autorizado e implementamos procesos y controles adicionales para proteger mejor a nuestros clientes, nuestros empleados y nuestra plataforma.

Qué necesitas hacer

A partir de hoy, y de acuerdo con la práctica estándar, solicitamos que todos nuestros clientes restablezcan sus contraseñas en todos los puntos de acceso a su cuenta de SendGrid. Para obtener más información sobre cómo restablecer su contraseña, haga clic aquí.

Para los aproximadamente 600 clientes que tienen claves DKIM personalizadas para enviar correo, les solicitamos que generen nuevas claves DKIM a través de nuestra interfaz y actualicen sus registros DNS para reflejar el cambio. Si usa claves DKIM personalizadas, recibirá un correo electrónico por separado con instrucciones. Para obtener más información, haga clic aquí.

Además de cambiar su contraseña, SendGrid también recomienda tomar las siguientes medidas para asegurarse de que su cuenta esté protegida:

• Autenticación de dos factores : Alentamos a todos nuestros clientes a que habiliten la autenticación de dos factores, que puede prevenir de manera efectiva los inicios de sesión no autorizados. Para obtener instrucciones sobre cómo hacerlo, haga clic aquí.
• Proteja sus credenciales : evite publicar sus credenciales en repositorios públicos de código fuente. Los ciberdelincuentes usan scripts automatizados para buscar credenciales publicadas y pueden explotarlas rápidamente.
• Use contraseñas únicas y aleatorias : aunque SendGrid agrega salts y hash de forma iterativa a las contraseñas, recomendamos que todas las contraseñas sean únicas, generadas aleatoriamente y almacenadas en un administrador de contraseñas.

Nuestro compromiso continuo con la seguridad

Estamos comprometidos con el desarrollo de nuevas características que mejorarán la seguridad de nuestra plataforma. Esto incluye:

• Claves de API : nuestro equipo de ingeniería está trabajando para acelerar el lanzamiento de claves de API, lo que permitirá a nuestros clientes usar claves en lugar de nombre de usuario/contraseña para enviar correo a través de nuestro sistema mediante programación, lo que reducirá aún más la exposición a la seguridad. Las claves API están en beta abierta. Obtenga más información aquí: https://sendgrid.com/docs/User_Guide/Account/api_keys.html
• Controles de acceso del cliente : nuestro equipo de ingeniería también está acelerando el lanzamiento de la lista de permisos de IP, que permitirá a los clientes autorizar rangos de IP específicos para interactuar con el panel de control de su cuenta de SendGrid, lo que reducirá aún más la exposición a la seguridad.
• Autenticación de dos factores mejorada : Engineering está trabajando en mejoras a nuestro sistema de autenticación de dos factores que admitirá métodos de autenticación adicionales y también funcionará para clientes que asignan múltiples credenciales a una cuenta.

Somos conscientes de que la entrega de correo electrónico es una parte esencial del curso normal de los negocios de nuestros clientes y nos disculpamos sinceramente por todas las molestias que esto haya causado. La seguridad es una prioridad para nosotros en SendGrid y continuaremos trabajando arduamente para ganarnos su confianza haciendo todo lo posible para brindar un servicio seguro.

Valoramos nuestra relación con usted y si tiene alguna pregunta adicional, lo alentamos a que se comunique con nosotros en [email protected]. Para obtener más información sobre nuestras prácticas de seguridad y políticas de privacidad, visite https://sendgrid.com/privacy.

Preguntas frecuentes del cliente

P: ¿Se comprometió mi cuenta? ¿Se comprometieron las listas de correo electrónico de mi cuenta?

R: Es difícil identificar a los autores de los ataques cibernéticos. Si bien no podemos descartar la posibilidad de que las listas de clientes o la información de contacto de los clientes hayan sido robadas, no tenemos pruebas forenses que indiquen que así fue. Como medida proactiva y preventiva, estamos trabajando con todos nuestros clientes para restablecer sus contraseñas.

P: ¿Qué significa esto para nuestras listas de correo electrónico? ¿Debemos abstenernos de enviar correos electrónicos?

R: Si bien no es necesario que se abstenga de enviar correos electrónicos, le recomendamos que restablezca su contraseña y habilite la autenticación de dos factores. También recomendamos que todas las contraseñas sean únicas, generadas aleatoriamente y almacenadas en un administrador de contraseñas.

P: ¿Había alguna otra información personal a la que el ciberdelincuente tuviera acceso?

R: La evidencia sugiere que los ciberdelincuentes accedieron a servidores que contenían parte de la información de contacto de nuestros clientes. Sin embargo, no hemos encontrado ninguna evidencia forense de que se hayan robado las listas de clientes o la información de contacto de los clientes. Hemos verificado que no se accedió a información financiera, de tarjetas de crédito o de pago, ya que SendGrid no procesa ni almacena ninguna de esa información.

P: ¿Qué está haciendo para prevenir futuros ataques?

R: Tras el descubrimiento, tomamos medidas inmediatas para bloquear todo acceso no autorizado e implementamos procesos y controles adicionales para proteger mejor a nuestros clientes, nuestros empleados y nuestra plataforma. Hemos estado trabajando en colaboración con la policía y el Equipo de Respuesta a Incidentes de FireEye (Mandiant) para investigar a fondo este incidente y estamos tomando una serie de medidas adicionales para aumentar la seguridad de nuestro sistema. El primer paso es trabajar con nuestros clientes para asegurarnos de que han tomado todas las precauciones adecuadas para protegerse.

También estamos desarrollando nuevas funciones que mejorarán la seguridad de nuestra plataforma, incluidas las claves API, la lista de permisos de IP y la autenticación mejorada de dos factores.