อัปเดตเกี่ยวกับเหตุการณ์ด้านความปลอดภัยและมาตรการรักษาความปลอดภัยเพิ่มเติม

เผยแพร่แล้ว: 2015-04-28

เกิดอะไรขึ้น

เมื่อวันที่ 8 เมษายน บัญชี SendGrid ของลูกค้าที่เกี่ยวข้องกับ Bitcoin ถูกบุกรุกและใช้เพื่อส่งอีเมลฟิชชิ่ง

ตอนแรกเราเชื่อว่าการเข้ายึดบัญชีนี้เป็นเหตุการณ์ที่เกิดขึ้นแยกจากกัน และทำงานร่วมกับลูกค้าของเราเพื่อช่วยให้พวกเขากู้คืนการควบคุมบัญชีของตนและลดความเสียหายจากการโจมตีให้เหลือน้อยที่สุด

หลังจากการสอบสวนเพิ่มเติมโดยร่วมมือกับหน่วยงานบังคับใช้กฎหมายและทีมรับมือเหตุฉุกเฉินของ FireEye (Mandiant) เราพบว่าบัญชีของพนักงาน SendGrid ถูกบุกรุกโดยอาชญากรไซเบอร์ และเคยเข้าถึงระบบภายในของเราหลายระบบในวันที่สามแยกกันในเดือนกุมภาพันธ์และมีนาคม 2015 .

ระบบเหล่านี้ประกอบด้วยชื่อผู้ใช้ ที่อยู่อีเมล และรหัสผ่าน (แบบเค็มและแบบวนซ้ำ) สำหรับลูกค้า SendGrid และบัญชีพนักงาน นอกจากนี้ หลักฐานยังชี้ให้เห็นว่าอาชญากรไซเบอร์เข้าถึงเซิร์ฟเวอร์ที่มีรายชื่อ/ที่อยู่อีเมลของผู้รับของลูกค้า และข้อมูลติดต่อของลูกค้า เราไม่พบหลักฐานทางนิติเวชใดๆ ที่ระบุว่ารายชื่อลูกค้าหรือข้อมูลติดต่อของลูกค้าถูกขโมย อย่างไรก็ตาม เพื่อเป็นการป้องกันไว้ก่อน เรากำลังขอให้มีการรีเซ็ตรหัสผ่านทั้งระบบ เนื่องจาก SendGrid ไม่ได้จัดเก็บบัตรชำระเงินของลูกค้า เราจึงทราบดีว่าข้อมูลบัตรชำระเงินไม่เกี่ยวข้อง

เมื่อค้นพบ เราได้ดำเนินการทันทีเพื่อบล็อกการเข้าถึงโดยไม่ได้รับอนุญาต และปรับใช้กระบวนการและการควบคุมเพิ่มเติม เพื่อปกป้องลูกค้า พนักงาน และแพลตฟอร์มของเราได้ดียิ่งขึ้น

สิ่งที่คุณต้องทำ

เริ่มตั้งแต่วันนี้ และเป็นไปตามหลักปฏิบัติมาตรฐาน เราขอให้ลูกค้าทุกคนรีเซ็ตรหัสผ่านของตนไปยังจุดเข้าใช้งานบัญชี SendGrid ทั้งหมด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการรีเซ็ตรหัสผ่านของคุณ คลิกที่นี่

สำหรับลูกค้าประมาณ 600 รายที่มีคีย์ DKIM ที่กำหนดเองสำหรับการส่งอีเมล เราขอให้คุณสร้างคีย์ DKIM ใหม่ผ่านอินเทอร์เฟซของเรา และอัปเดตระเบียน DNS ของคุณเพื่อแสดงถึงการเปลี่ยนแปลง หากคุณใช้คีย์ DKIM ที่กำหนดเอง คุณจะได้รับอีเมลพร้อมคำแนะนำแยกต่างหาก สำหรับข้อมูลเพิ่มเติมคลิกที่นี่

นอกจากการเปลี่ยนรหัสผ่านแล้ว SendGrid ยังแนะนำให้ดำเนินการดังต่อไปนี้เพื่อให้แน่ใจว่าบัญชีของคุณได้รับการปกป้อง:

  • การตรวจสอบสิทธิ์แบบสองปัจจัย : เราสนับสนุนให้ลูกค้าของเราทุกคนเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย ซึ่งสามารถป้องกันการเข้าสู่ระบบโดยไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ สำหรับคำแนะนำเกี่ยวกับวิธีการทำเช่นนี้ โปรดคลิกที่นี่
  • ปกป้องข้อมูลประจำตัวของคุณ : หลีกเลี่ยงการเผยแพร่ข้อมูลประจำตัวของคุณไปยังที่เก็บซอร์สโค้ดสาธารณะ อาชญากรไซเบอร์ใช้สคริปต์อัตโนมัติเพื่อค้นหาข้อมูลประจำตัวที่เผยแพร่และสามารถใช้ประโยชน์ได้อย่างรวดเร็ว
  • ใช้รหัสผ่านแบบสุ่มที่ไม่ซ้ำกัน : แม้ว่า SendGrid จะเข้ารหัสและแฮชรหัสผ่านซ้ำๆ เราขอแนะนำว่ารหัสผ่านทั้งหมดต้องไม่ซ้ำกัน สร้างขึ้นแบบสุ่ม และจัดเก็บไว้ในตัวจัดการรหัสผ่าน

ความมุ่งมั่นอย่างต่อเนื่องของเราในการรักษาความปลอดภัย

เรามุ่งมั่นที่จะพัฒนาคุณสมบัติใหม่ที่จะปรับปรุงความปลอดภัยของแพลตฟอร์มของเรา ซึ่งรวมถึง:

  • คีย์ API : ทีมวิศวกรรมของเรากำลังดำเนินการเร่งรัดการเปิดตัวคีย์ API ซึ่งจะอนุญาตให้ลูกค้าของเราใช้คีย์แทนชื่อผู้ใช้/รหัสผ่านเพื่อส่งอีเมลผ่านระบบของเราโดยทางโปรแกรม ซึ่งช่วยลดความเสี่ยงด้านความปลอดภัยลงได้อีก คีย์ API อยู่ในโอเพ่นเบต้า ค้นหาข้อมูลเพิ่มเติมได้ที่นี่: https://sendgrid.com/docs/User_Guide/Account/api_keys.html
  • การควบคุมการเข้าถึงของลูกค้า : ทีมวิศวกรรมของเรากำลังเร่งเผยแพร่รายการอนุญาต IP ซึ่งจะอนุญาตให้ลูกค้าอนุญาตช่วง IP เฉพาะเพื่อโต้ตอบกับแผงควบคุมของบัญชี SendGrid ซึ่งช่วยลดความเสี่ยงด้านความปลอดภัย
  • การรับรองความถูกต้องด้วยสองปัจจัยที่ได้รับการปรับปรุง : วิศวกรรมกำลังทำงานเพื่อปรับปรุงระบบการตรวจสอบสิทธิ์แบบสองปัจจัยของเรา ซึ่งจะสนับสนุนวิธีการตรวจสอบสิทธิ์เพิ่มเติม และยังทำงานสำหรับลูกค้าที่กำหนดข้อมูลรับรองหลายรายการให้กับบัญชี

เราตระหนักดีว่าการส่งอีเมลเป็นส่วนสำคัญของการดำเนินธุรกิจตามปกติของลูกค้า และเราขออภัยอย่างจริงใจสำหรับความไม่สะดวกทั้งหมดที่เกิดขึ้น การรักษาความปลอดภัยเป็นสิ่งสำคัญสำหรับเราที่ SendGrid และเราจะพยายามอย่างเต็มที่เพื่อให้ได้รับความไว้วางใจจากคุณโดยพยายามทุกวิถีทางเพื่อให้บริการที่ปลอดภัย

เราให้ความสำคัญกับความสัมพันธ์ของเรากับคุณ และหากคุณมีคำถามเพิ่มเติม เราขอแนะนำให้คุณติดต่อเราที่ [email protected] สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยและนโยบายความเป็นส่วนตัว โปรดไปที่ https://sendgrid.com/privacy

คำถามที่พบบ่อยของลูกค้า

ถาม: บัญชีของฉันถูกบุกรุกหรือไม่ รายชื่ออีเมลในบัญชีของฉันถูกบุกรุกหรือไม่?

ตอบ: การระบุผู้กระทำความผิดของการโจมตีทางไซเบอร์เป็นเรื่องยาก แม้ว่าเราจะไม่สามารถแยกแยะความเป็นไปได้ที่รายชื่อลูกค้าหรือข้อมูลติดต่อของลูกค้าถูกขโมย แต่เราไม่มีหลักฐานทางนิติวิทยาศาสตร์ที่ระบุว่าถูกขโมย เรากำลังทำงานร่วมกับลูกค้าทุกคนเพื่อรีเซ็ตรหัสผ่านเป็นมาตรการเชิงรุกและเชิงป้องกัน

ถาม: สิ่งนี้หมายความว่าอย่างไรสำหรับรายชื่ออีเมลของเรา เราควรละเว้นจากการส่งอีเมล?

ตอบ: แม้ว่าคุณไม่จำเป็นต้องละเว้นการส่งอีเมล เราขอแนะนำให้คุณรีเซ็ตรหัสผ่านและเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย เรายังแนะนำว่ารหัสผ่านทั้งหมดต้องไม่ซ้ำกัน สร้างแบบสุ่มและจัดเก็บไว้ในตัวจัดการรหัสผ่าน

ถาม: มีข้อมูลส่วนบุคคลอื่นๆ ที่อาชญากรไซเบอร์สามารถเข้าถึงได้หรือไม่

ตอบ: หลักฐานแสดงให้เห็นว่าอาชญากรไซเบอร์เข้าถึงเซิร์ฟเวอร์ที่มีข้อมูลติดต่อของลูกค้าบางส่วน อย่างไรก็ตาม เราไม่พบหลักฐานทางนิติเวชใดๆ ที่ระบุว่ารายชื่อลูกค้าหรือข้อมูลติดต่อของลูกค้าถูกขโมย เราได้ตรวจสอบแล้วว่าไม่มีการเข้าถึงข้อมูลทางการเงิน บัตรเครดิต หรือการชำระเงิน เนื่องจาก SendGrid ไม่ได้ดำเนินการหรือจัดเก็บข้อมูลใดๆ

ถาม: คุณกำลังทำอะไรเพื่อป้องกันการโจมตีในอนาคต

ตอบ: เมื่อค้นพบ เราได้ดำเนินการทันทีเพื่อบล็อกการเข้าถึงที่ไม่ได้รับอนุญาตทั้งหมด และปรับใช้กระบวนการและการควบคุมเพิ่มเติมเพื่อปกป้องลูกค้า พนักงาน และแพลตฟอร์มของเราได้ดียิ่งขึ้น เราได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายและทีมรับมือเหตุฉุกเฉินของ FireEye (ผู้บังคับบัญชา) เพื่อตรวจสอบเหตุการณ์นี้อย่างละเอียดถี่ถ้วน และกำลังดำเนินการเพิ่มเติมหลายประการเพื่อเพิ่มความปลอดภัยให้กับระบบของเรา ขั้นตอนแรกคือการทำงานร่วมกับลูกค้าของเราเพื่อให้แน่ใจว่าพวกเขาได้ใช้มาตรการป้องกันที่เหมาะสมทั้งหมดเพื่อปกป้องตนเอง

เรากำลังพัฒนาคุณสมบัติใหม่ที่จะปรับปรุงความปลอดภัยของแพลตฟอร์มของเรา รวมถึงคีย์ API, IP อนุญาตรายการ และการตรวจสอบสิทธิ์สองปัจจัยที่ได้รับการปรับปรุง