Zendesk揭露2016年数据泄露影响了10,000位用户的电子邮件和密码

9月24日，一系列票务和客户支持软件解决方案的开发人员Zendesk得知它遭受了数据泄露。显然，第三方对此事件发出了警报，如果可以相信昨天发布的违规通知 ，其安全团队将立即采取措施找出发生的情况并通知公众。使用Zendesk产品的人们从表面上听到听到的消息会感到很欣慰，至少，这种违反似乎并没有那么危险。

数据泄露影响了大约1万个帐户

Zendesk在其通知中指出的第一件事是，“没有证据”显示任何票证或聊天数据被泄露。对于使用该公司产品与客户支持代理共享潜在敏感数据的数千人来说，这是个好消息。

话虽如此，某些最终用户确实暴露了个人身份信息（PII）。根据通知，访问了它们的名称，电子邮件地址，电话号码以及加盐和哈希密码。除最终用户外，使用该公司产品的Zendesk客户和支持代理也受到影响。 700位Zendesk客户应该特别关注，因为攻击者可能已经窃取了旨在保护用户信息安全的TLS加密密钥。 Zendesk表示，它正在努力告知所有相关人员。

事件的规模相对较小。仅暴露了1万个帐户，这与影响数以百万计的用户的其他违规行为相比并没有多大作用，并导致暴露了更为敏感的信息。更重要的是，所有被破坏的帐户都是在2016年11月之前创建的，据Zendesk称，其中一些已经闲置了相当长的时间。

总而言之，听起来还不错。用户不应小看该事件，尤其是考虑到Zendesk通知中缺少某些细节。

缺少一些难题

正如我们已经提到的，通知和随之而来的FAQ页面指出密码已加密和散列。 Zendesk网站上专门介绍安全性的页面还表示，该公司“遵循凭据存储最佳实践”。但是，尚不清楚的是所使用的哈希算法， 正如我们在过去所看到的 ，好的哈希算法和坏的哈希算法之间的差异可能是巨大的。

考虑到该公司的安全人员现在正在强制对他们在2016年11月1日之前处于活动状态的所有帐户强制执行所谓的“密码轮换”，因此缺少有关Zendesk密码存储机制的详细信息。

除了特殊的措辞外，在这种情况下，受影响的公司会正确地散列和盐分登录凭据，通常建议“出于谨慎考虑”更改密码，但很少执行. 这并不一定意味着Zendesk使用的哈希算法还不够好，但是它可能只是在某些人的脑海中植入了疑问的种子。

关于违规的另一件值得注意的事情是，第三方在违规事件发生三年后将其披露。有时，黑客确实设法掩盖了他们的踪迹，而像这样的事件却隐瞒了数年之久。不过，Zendesk外部的某个人在开发人员自己的安全团队之前发现了漏洞，但这并不能真正确保公司的信誉。希望所有经验教训都已被吸取。