Mise à jour sur l'incident de sécurité et les mesures de sécurité supplémentaires

Qu'est-il arrivé

Le 8 avril, le compte SendGrid d'un client lié à Bitcoin a été compromis et utilisé pour envoyer des e-mails de phishing.

Nous pensions initialement que cette prise de contrôle de compte était un incident isolé et avons travaillé avec notre client pour l'aider à reprendre le contrôle de son compte et à minimiser les dégâts de l'attaque.

Après une enquête plus approfondie en collaboration avec les forces de l'ordre et l'équipe de réponse aux incidents de FireEye (Mandiant), nous avons appris que le compte d'un employé de SendGrid avait été compromis par un cybercriminel et utilisé pour accéder à plusieurs de nos systèmes internes à trois dates distinctes en février et mars 2015. .

Ces systèmes contenaient des noms d'utilisateur, des adresses e-mail et des mots de passe (salés et hachés de manière itérative) pour les comptes clients et employés de SendGrid. En outre, des preuves suggèrent que le cybercriminel a accédé à des serveurs qui contenaient certaines listes/adresses e-mail de destinataires de nos clients et leurs coordonnées. Nous n'avons trouvé aucune preuve médico-légale que les listes de clients ou les coordonnées des clients ont été volées. Cependant, par mesure de précaution, nous demandons une réinitialisation du mot de passe à l'échelle du système. Étant donné que SendGrid ne stocke pas les cartes de paiement des clients, nous savons que les informations de carte de paiement n'étaient pas impliquées.

Dès la découverte, nous avons pris des mesures immédiates pour bloquer les accès non autorisés et déployé des processus et des contrôles supplémentaires pour mieux protéger nos clients, nos employés et notre plateforme.

Qu'as tu besoin de faire

À compter d'aujourd'hui, et conformément à la pratique courante, nous demandons à tous nos clients de réinitialiser leurs mots de passe pour tous les points d'accès de leur compte SendGrid. Pour plus d'informations sur la réinitialisation de votre mot de passe, cliquez ici.

Pour les quelque 600 clients qui disposent de clés DKIM personnalisées pour l'envoi de courrier, nous vous demandons de générer de nouvelles clés DKIM via notre interface et de mettre à jour vos enregistrements DNS pour refléter le changement. Si vous utilisez des clés DKIM personnalisées, vous recevrez un e-mail séparé avec des instructions. Pour plus d'informations, cliquez ici.

En plus de changer votre mot de passe, SendGrid recommande également de prendre les mesures suivantes pour vous assurer que votre compte est protégé :

• Authentification à deux facteurs : Nous encourageons tous nos clients à activer l'authentification à deux facteurs, qui peut empêcher efficacement les connexions non autorisées. Pour savoir comment procéder, veuillez cliquer ici.
• Protégez vos informations d'identification : évitez de publier vos informations d'identification dans des référentiels de code source publics. Les cybercriminels utilisent des scripts automatisés pour rechercher des informations d'identification publiées et peuvent les exploiter rapidement.
• Utilisez des mots de passe uniques et aléatoires : Même si SendGrid sale et hache les mots de passe de manière itérative, nous recommandons que tous les mots de passe soient uniques, générés de manière aléatoire et stockés dans un gestionnaire de mots de passe.

Notre engagement continu envers la sécurité

Nous nous engageons à développer de nouvelles fonctionnalités qui amélioreront la sécurité de notre plateforme. Ceci comprend:

• Clés API : notre équipe d'ingénieurs s'efforce d'accélérer la publication des clés API, ce qui permettra à nos clients d'utiliser des clés au lieu d'un nom d'utilisateur/mot de passe pour envoyer des e-mails via notre système par programmation, réduisant ainsi davantage l'exposition à la sécurité. Les clés API sont en bêta ouverte. En savoir plus ici : https://sendgrid.com/docs/User_Guide/Account/api_keys.html
• Contrôles d'accès client : notre équipe d'ingénieurs accélère également la publication de la liste des adresses IP autorisées, ce qui permettra aux clients d'autoriser des plages d'adresses IP spécifiques à interagir avec le panneau de configuration de leur compte SendGrid, réduisant ainsi davantage l'exposition à la sécurité.
• Authentification à deux facteurs améliorée : L'ingénierie travaille sur des améliorations à notre système d'authentification à deux facteurs qui prendra en charge des méthodes d'authentification supplémentaires et fonctionnera également pour les clients qui attribuent plusieurs informations d'identification à un compte.

Nous réalisons que la livraison des e-mails est une partie essentielle du cours normal des affaires de nos clients et nous nous excusons sincèrement pour tous les inconvénients que cela a causés. La sécurité est une priorité pour nous chez SendGrid et nous continuerons à travailler dur pour gagner votre confiance en mettant tout en œuvre pour fournir un service sécurisé.

Nous apprécions notre relation avec vous et si vous avez des questions supplémentaires, nous vous encourageons à nous contacter à [email protected]. Pour plus d'informations sur nos pratiques de sécurité et nos politiques de confidentialité, visitez https://sendgrid.com/privacy.

FAQ client

Q : Mon compte a-t-il été compromis ? Les listes de diffusion de mon compte ont-elles été compromises ?

R : Il est difficile d'identifier le(s) auteur(s) des cyberattaques. Bien que nous ne puissions pas exclure la possibilité que des listes de clients ou des informations de contact client aient été volées, nous n'avons aucune preuve médico-légale indiquant que c'était le cas. Comme mesure proactive et préventive, nous travaillons avec tous nos clients pour réinitialiser leurs mots de passe.

Q : Qu'est-ce que cela signifie pour nos listes de diffusion ? Doit-on s'abstenir d'envoyer des emails ?

R : Bien que vous n'ayez pas à vous abstenir d'envoyer des e-mails, nous vous recommandons de réinitialiser votre mot de passe et d'activer l'authentification à deux facteurs. Nous recommandons également que tous les mots de passe soient uniques, générés de manière aléatoire et stockés dans un gestionnaire de mots de passe.

Q : Y a-t-il d'autres informations personnelles auxquelles le cybercriminel a accès ?

R : Des preuves suggèrent que le cybercriminel a accédé à des serveurs contenant certaines des coordonnées de nos clients. Cependant, nous n'avons trouvé aucune preuve médico-légale que des listes de clients ou des informations de contact client ont été volées. Nous avons vérifié qu'aucune information financière, de carte de crédit ou de paiement n'a été consultée, car SendGrid ne traite ni ne stocke aucune de ces informations.

Q : Que faites-vous pour empêcher de futures attaques ?

R : Dès la découverte, nous avons pris des mesures immédiates pour bloquer tout accès non autorisé et déployé des processus et des contrôles supplémentaires pour mieux protéger nos clients, nos employés et notre plateforme. Nous avons travaillé en collaboration avec les forces de l'ordre et l'équipe de réponse aux incidents de FireEye (Mandiant) pour enquêter de manière approfondie sur cet incident et prenons un certain nombre de mesures supplémentaires pour renforcer la sécurité de notre système. La première étape consiste à travailler avec nos clients pour s'assurer qu'ils ont pris toutes les précautions appropriées pour se protéger.

Nous développons également de nouvelles fonctionnalités qui amélioreront la sécurité de notre plate-forme, notamment les clés API, la liste d'autorisation IP et l'authentification à deux facteurs améliorée.