Aktualizacja dotycząca incydentów związanych z bezpieczeństwem i dodatkowych środków bezpieczeństwa

Opublikowany: 2015-04-28

Co się stało

8 kwietnia konto SendGrid klienta związanego z Bitcoinem zostało naruszone i wykorzystane do wysyłania wiadomości phishingowych.

Początkowo uważaliśmy, że to przejęcie konta było odosobnionym incydentem, i pracowaliśmy z naszym klientem, aby pomóc mu odzyskać kontrolę nad swoim kontem i zminimalizować szkody spowodowane atakiem.

Po dalszym dochodzeniu we współpracy z organami ścigania i zespołem reagowania na incydenty FireEye (Mandiant) dowiedzieliśmy się, że konto pracownika SendGrid zostało naruszone przez cyberprzestępcę i wykorzystane do uzyskania dostępu do kilku naszych systemów wewnętrznych w trzech różnych terminach w lutym i marcu 2015 r. .

Systemy te zawierały nazwy użytkowników, adresy e-mail i (solone i iteracyjnie zaszyfrowane) hasła do kont klientów i pracowników SendGrid. Ponadto dowody sugerują, że cyberprzestępca uzyskał dostęp do serwerów, które zawierały niektóre listy/adresy e-mail odbiorców naszych klientów oraz informacje kontaktowe klientów. Nie znaleźliśmy żadnych dowodów kryminalistycznych, że listy klientów lub dane kontaktowe klientów zostały skradzione. Jednak jako środek zapobiegawczy prosimy o reset hasła w całym systemie. Ponieważ SendGrid nie przechowuje kart płatniczych klientów, wiemy, że informacje o kartach płatniczych nie były zaangażowane.

Po wykryciu podjęliśmy natychmiastowe działania w celu zablokowania nieautoryzowanego dostępu i wdrożyliśmy dodatkowe procesy i kontrole, aby lepiej chronić naszych klientów, naszych pracowników i naszą platformę.

Co musisz zrobić

Począwszy od dzisiaj i zgodnie ze standardową praktyką, prosimy wszystkich naszych klientów o zresetowanie haseł do wszystkich punktów dostępu do ich kont SendGrid. Aby uzyskać więcej informacji na temat resetowania hasła, kliknij tutaj.

W przypadku około 600 klientów, którzy mają niestandardowe klucze DKIM do wysyłania poczty, prosimy o wygenerowanie nowych kluczy DKIM za pośrednictwem naszego interfejsu i zaktualizowanie rekordów DNS w celu odzwierciedlenia zmiany. Jeśli używasz niestandardowych kluczy DKIM, otrzymasz osobną wiadomość e-mail z instrukcjami. Aby uzyskać więcej informacji, kliknij tutaj.

Oprócz zmiany hasła SendGrid zaleca również podjęcie następujących działań w celu zapewnienia ochrony konta:

  • Uwierzytelnianie dwuskładnikowe : zachęcamy wszystkich naszych klientów do włączenia uwierzytelniania dwuskładnikowego, które może skutecznie zapobiegać nieautoryzowanym logowaniu. Aby uzyskać instrukcje, jak to zrobić, kliknij tutaj.
  • Chroń swoje poświadczenia : unikaj publikowania poświadczeń w publicznych repozytoriach kodów źródłowych. Cyberprzestępcy używają automatycznych skryptów do wyszukiwania opublikowanych danych uwierzytelniających i mogą je szybko wykorzystać.
  • Używaj unikalnych, losowych haseł : nawet jeśli SendGrid łączy i iteracyjnie haszuje hasła, zalecamy, aby wszystkie hasła były unikatowe, losowo generowane i przechowywane w menedżerze haseł.

Nasze stałe zaangażowanie w bezpieczeństwo

Zależy nam na opracowywaniu nowych funkcji, które poprawią bezpieczeństwo naszej platformy. To zawiera:

  • Klucze API : nasz zespół inżynierów pracuje nad przyspieszeniem wydawania kluczy API, co pozwoli naszym klientom na używanie kluczy zamiast nazwy użytkownika/hasła do programowego wysyłania poczty przez nasz system, co jeszcze bardziej zmniejszy zagrożenie bezpieczeństwa. Klucze API są w otwartej wersji beta. Dowiedz się więcej tutaj: https://sendgrid.com/docs/User_Guide/Account/api_keys.html
  • Kontrola dostępu klienta : nasz zespół inżynierów przyspiesza również wydanie listy dozwolonych adresów IP, która pozwoli klientom autoryzować określone zakresy adresów IP do interakcji z panelem sterowania ich konta SendGrid, co jeszcze bardziej zmniejszy narażenie na bezpieczeństwo.
  • Ulepszone uwierzytelnianie dwuskładnikowe: Inżynierowie pracują nad ulepszeniami naszego systemu uwierzytelniania dwuskładnikowego, który będzie obsługiwał dodatkowe metody uwierzytelniania, a także będzie działał dla klientów, którzy przypisują wiele poświadczeń do konta.

Zdajemy sobie sprawę, że dostarczanie wiadomości e-mail jest istotną częścią regularnej działalności naszych klientów i serdecznie przepraszamy za wszelkie związane z tym niedogodności. Bezpieczeństwo jest dla nas priorytetem w SendGrid i będziemy nadal ciężko pracować, aby zdobyć Twoje zaufanie, dokładając wszelkich starań, aby zapewnić bezpieczną usługę.

Cenimy sobie naszą relację z Tobą i jeśli masz dodatkowe pytania, zachęcamy do kontaktu pod adresem [email protected]. Aby uzyskać więcej informacji o naszych praktykach bezpieczeństwa i polityce prywatności, odwiedź stronę https://sendgrid.com/privacy.

Najczęściej zadawane pytania klientów

P: Czy moje konto zostało naruszone? Czy włamano się na listy e-mailowe na moim koncie?

O: Identyfikacja sprawcy (sprawców) cyberataków jest trudna. Chociaż nie możemy wykluczyć, że listy klientów lub dane kontaktowe klientów zostały skradzione, nie mamy dowodów kryminalistycznych wskazujących, że tak było. W ramach proaktywnego i zapobiegawczego środka współpracujemy ze wszystkimi naszymi klientami w celu zresetowania ich haseł.

P: Co to oznacza dla naszych list e-mailowych? Czy powinniśmy powstrzymać się od wysyłania e-maili?

O: Chociaż nie musisz rezygnować z wysyłania e-maili, zalecamy zresetowanie hasła i włączenie uwierzytelniania dwuskładnikowego. Zalecamy również, aby wszystkie hasła były unikatowe, generowane losowo i przechowywane w menedżerze haseł.

P: Czy były jakieś inne dane osobowe, do których cyberprzestępca ma dostęp?

O: Dowody sugerują, że cyberprzestępca uzyskał dostęp do serwerów, które zawierały niektóre informacje kontaktowe naszych klientów. Nie znaleźliśmy jednak żadnych dowodów kryminalistycznych, że listy klientów lub dane kontaktowe klientów zostały skradzione. Sprawdziliśmy, że nie uzyskano dostępu do żadnych informacji finansowych, kart kredytowych lub płatności, ponieważ SendGrid nie przetwarza ani nie przechowuje żadnych z tych informacji.

P: Co robisz, aby zapobiec przyszłym atakom?

Odp.: Po wykryciu podjęliśmy natychmiastowe działania, aby zablokować wszelki nieautoryzowany dostęp i wdrożyliśmy dodatkowe procesy i kontrole, aby lepiej chronić naszych klientów, naszych pracowników i naszą platformę. Współpracujemy z organami ścigania i zespołem reagowania na incydenty FireEye (Mandiant) w celu dokładnego zbadania tego incydentu i podejmujemy szereg dodatkowych działań w celu zwiększenia bezpieczeństwa naszego systemu. Pierwszym krokiem jest współpraca z naszymi klientami, aby upewnić się, że podjęli wszelkie odpowiednie środki ostrożności, aby się chronić.

Opracowujemy również nowe funkcje, które poprawią bezpieczeństwo naszej platformy, w tym klucze API, listę dozwolonych adresów IP i ulepszone uwierzytelnianie dwuskładnikowe.