OVH Community, your new community space.

saugumo incidentas


oles@ovh.net
07-22-2013, 05:22 PM
http://travaux.ovh.net/?do=details&id=8998

Sveiki,

Prieš keletą dienų aptikome vidaus saugumo spragą mūsų Rubė biuruose. Atlikę vidinius tyrimus nustatėme, kad programišiui pavyko gauti prieigą prie vieno iš mūsų sistemų administratorių el. pašto. Naudodamasis šia el. pašto prieiga, programišius gavo prieigą prie kito darbuotojo vidinio VPN. Vėliau su šia VPN prieiga jam pavyko sukompromituoti vieno iš mūsų sistemų administratorių, atsakingų už vidinę sistemą (backoffice), prieigas.

Mūsų vidinis saugumas iki šiol buvo paremtas 2 lygmenų patikrinimu:
- geografinis lygmuo: įsipareigojimas būti biure ar naudoti VPN, t.y. fiksuotą IP šaltinį (source);
- asmeninis lygmuo: slaptažodis.

Veiksmai po incidento
-----------------------------

Po šio įsilaužimo iš karto pakeitėme vidaus saugumo taisykles:
- Iš naujo sugeneravome visų darbuotojų visų prieigų slaptažodžius;
- Įdiegėme naują VPN apsaugotoje PCI-DSS salėje su labai ribota prieiga;
- Vidaus el. paštą galima peržiūrėti tik viduje, esant biure arba per VPN;
- Visiems darbuotojams bus atliekamas 3 lygmenų patikrinimas:
- IP šaltinio;
- Slaptažodžio;
- Asmeninio hardware token (YubiKey)

Galime konstatuoti
--------------------------
Tirdami šį saugumo incidentą įtariame, kad programišiai gavo privilegijuotą prieigą, kad atliktų šiuos 2 veiksmus:
- Gautų Europos klientų duomenų bazę;
- Gautų prieigą prie Kvebeko serverių diegimo sistemos.

Europos klientų duomenų bazėje saugomi asmeniniai klientų duomenys: pavardė, vardas, kliento identifikatorius, adresas, miestas, šalis, telefonas, faksas ir užšifruotas slaptažodis.
Slaptažodžiai šifruojami naudojant SHA512 ir "salted" algoritmus, tai yra labai stiprus šifravimas, leidžiantis išvengti bruteforce. Reikia labai daug techninių priemonių norint atkurti tikrą slaptažodį. Bet tai įmanoma. Todėl jums patariame pakeisti jūsų kliento ID slaptažodį. Šiandien išsiųsime el. laišką visiems mūsų klientams, paaiškinsime saugumo incidentą ir paprašysime pasikeisti slaptažodžius.
Banko kortelių duomenys OVH nelaikomi. Jokie banko kortelių duomenys nebuvo nei peržiūrėti, nei nukopijuoti.

Kalbant apie serverių diegimo sistemą Kvebeke, identifikavome riziką: jeigu klientas nepašalino mūsų SSH rakto iš serverio, programišius galėjo prisijungti per mūsų sistemą, kad atkurtų slaptažodį, įregistruotą .p byloje. SSH raktas nenaudojamas iš kito serverio, tik iš mūsų Kvebeko backoffice. Jeigu aptikome, kad klientas nepašalino mūsų SSH rakto ir nepakeitė root slaptažodžio, mes iš karto pakeitėme jo serverių slaptažodį BHS duomenų centre, todėl ši rizika nulinė. Šiandien išsiųsime el. laišką su nauju slaptažodžiu. SSH raktas nuo šiol bus reguliariai trinamas po serverio suteikimo tiek Kvebeke, tiek Europoje. Jeigu klientui reikės OVH pagalbos, jis turės įdiegti naują SSH raktą.

Žiūrint globaliai, artimiausiu metu savo vidinei sistemai (backoffice) taikysime PCI-DSS normą, leisiančią garantuoti, kad tam tikrų asmenų prieigų nulaužimo atvejais, mūsų duomenų bazės nebus paveiktos. Žodžiu, nebuvome pakankamai paranojiški, todėl dabar perėjome į aukštesnį paranojos lygmenį. Tikslas – apsaugoti jūsų duomenis ir atlaikyti pramoninį šnipinėjimą, nukreiptą į OVH darbuotojus.

Mes taip pat pateiksime baudžiamąjį ieškinį teisminėms institucijoms. Kad nebetrukdytume tyrėjų darbui, kitos informacijos nesuteiksime tol, kol bus paskelbtos galutinės išvados.

Atsiprašome dėl šio incidento. Dėkojame už jūsų supratimą.

Draugiški linkėjimai,

Octave