Zendesk rivela che una violazione dei dati ha interessato le e-mail e le password di 10.000 utenti nel 2016
Il 24 settembre, Zendesk, lo sviluppatore di una linea di soluzioni software di ticketing e supporto clienti, ha appreso che aveva subito una violazione dei dati. Apparentemente, una terza parte lo ha avvisato del incidente e, se si ritiene che avviso di violazione pubblicato ieri, il suo team di sicurezza ha preso provvedimenti immediati per scoprire cosa è successo e informare il pubblico. Le persone che hanno usato i prodotti Zendesk saranno sollevate nel sentirlo dire che, almeno, la violazione non sembra poi così pericolosa.
La violazione dei dati ha interessato circa 10 mila account
Una delle prime cose che Zendesk sottolinea nel suo avviso è che non ci sono "prove" di dati di ticketing o chat esposti. Questa è una buona notizia per le migliaia di persone che hanno utilizzato i prodotti del azienda per condividere dati potenzialmente sensibili con gli agenti del assistenza clienti.
Detto questo, alcuni utenti finali hanno avuto informazioni personali identificabili (PII) esposte. Secondo avviso, è stato possibile accedere a nomi, indirizzi e-mail, numeri di telefono e password salate e con hash. Oltre agli utenti finali, sono stati interessati anche i clienti Zendesk e gli agenti di supporto che hanno utilizzato i prodotti del azienda. 700 clienti Zendesk dovrebbero essere particolarmente preoccupati perché gli aggressori potrebbero essere stati in grado di rubare le loro chiavi di crittografia TLS, progettate per proteggere le informazioni degli utenti. Zendesk ha detto che sta lavorando per informare tutti i soggetti coinvolti.
La scala del incidente è relativamente piccola. Sono stati esposti solo 10 mila account, il che è nulla rispetto ad altre violazioni che hanno colpito milioni e milioni di utenti e hanno portato al esposizione di informazioni molto più sensibili. Inoltre, tutti gli account violati sono stati creati prima di novembre 2016 e, secondo Zendesk, alcuni di essi sono inattivi da un po di tempo.
Tutto sommato, non suona così male. Gli utenti non dovrebbero sottovalutare incidente, tuttavia, soprattutto considerando la mancanza di alcuni dettagli nel avviso di Zendesk.
Mancano alcuni pezzi del puzzle
Come già accennato, la pagina di notifica e FAQ che accompagna indica che le password sono salate e cancellate. Una pagina dedicata alla sicurezza sul sito Web di Zendesk afferma inoltre che la società "segue le migliori pratiche di archiviazione delle credenziali". Ciò che rimane poco chiaro, tuttavia, è algoritmo di hashing che è stato utilizzato e, come abbiamo visto in passato , la differenza tra un algoritmo di hashing buono e uno cattivo può essere enorme.
La mancanza di dettagli sui meccanismi di archiviazione delle password di Zendesk è particolarmente preoccupante alla luce del fatto che i responsabili della sicurezza del azienda stanno forzando quella che chiamano una "rotazione delle password" per tutti gli account attivi prima del 1 ° novembre 2016.
Formulazioni particolari a parte, in tali casi, le aziende interessate che hanno correttamente le credenziali di accesso hash e salt di solito raccomandano una modifica della password "per abbondanza di cautela" ma raramente la applicano. Questo non significa necessariamente che algoritmo di hash che Zendesk utilizza non sia abbastanza buono, ma potrebbe semplicemente piantare il seme del dubbio nella mente di alcune persone.
Un altra cosa evidente della violazione è il fatto che una terza parte ha divulgata quasi tre anni dopo che è avvenuta. A volte, gli hacker riescono a percorrere le loro tracce e incidenti come questo rimangono nascosti per anni. Il fatto che qualcuno al di fuori di Zendesk abbia scoperto la violazione prima del team di sicurezza dello sviluppatore non fa molto per la credibilità del azienda. Speriamo che tutte le lezioni siano state apprese.
