Zendesk揭露2016年數據泄露影響了10,000位用戶的電子郵件和密碼

9月24日，一系列票務和客戶支持軟件解決方案的開發人員Zendesk得知它遭受了數據洩露。顯然，第三方對此事件發出了警報，如果可以相信昨天發布的違規通知 ，其安全團隊將立即採取措施找出發生的情況並通知公眾。使用Zendesk產品的人們從表面上聽到聽到的消息會感到很欣慰，至少，這種違反似乎並沒有那麼危險。

數據洩露影響了大約1萬個帳戶

Zendesk在其通知中指出的第一件事是，“沒有證據”顯示任何票證或聊天數據被洩露。對於使用該公司產品與客戶支持代理共享潛在敏感數據的數千人來說，這是個好消息。

話雖如此，某些最終用戶確實暴露了個人身份信息（PII）。根據通知，訪問了它們的名稱，電子郵件地址，電話號碼以及加鹽和哈希密碼。除最終用戶外，使用該公司產品的Zendesk客戶和支持代理也受到影響。 700位Zendesk客戶應該特別關注，因為攻擊者可能已經竊取了旨在保護用戶信息安全的TLS加密密鑰。 Zendesk表示，它正在努力告知所有相關人員。

事件的規模相對較小。僅暴露了1萬個帳戶，這與影響數以百萬計的用戶的其他違規行為相比並沒有多大作用，並導致暴露了更為敏感的信息。更重要的是，所有被破壞的帳戶都是在2016年11月之前創建的，據Zendesk稱，其中一些已經閒置了相當長的時間。

總而言之，聽起來還不錯。用戶不應小看該事件，尤其是考慮到Zendesk通知中缺少某些細節。

缺少一些難題

正如我們已經提到的，通知和隨之而來的FAQ頁面指出密碼已加密和散列。 Zendesk網站上專門介紹安全性的頁面還表示，該公司“遵循憑據存儲最佳實踐”。但是，尚不清楚的是所使用的哈希算法， 正如我們在過去所看到的 ，好的哈希算法和壞的哈希算法之間的差異可能是巨大的。

考慮到以下事實，Zendesk的密碼存儲機制缺乏詳細信息，尤其是考慮到以下事實：該公司的安全人員現在對所有在2016年11月1日之前處於活動狀態的帳戶強制執行所謂的“密碼輪換”。

除了特殊的措辭外，在這種情況下，受影響的公司會正確地散列和鹽分登錄憑據，通常建議“出於謹慎考慮”更改密碼，但很少執行. 這並不一定意味著Zendesk使用的哈希算法還不夠好，但是它可能只是在某些人的腦海中植入了疑問的種子。

關於違規的另一件值得注意的事情是，第三方在違規事件發生三年後將其披露。有時，黑客確實設法掩蓋了他們的踪跡，而像這樣的事件卻隱瞞了數年之久。不過，Zendesk外部的某個人在開發人員自己的安全團隊之前發現了漏洞，但這並不能真正確保公司的信譽。希望所有經驗教訓都已被吸取。