We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Bezpečnost back-office


oles@ovh.net
04-30-2013, 03:30 PM
Zdravím,

Pro změnu hesla u zákaznického identifikátoru musíte jít na OVH stránku a požádat o změnu společně se zadáním konkrétního NIC-Handle (uživatelského identifikátoru). Jakmile to uděláte, bude Vám zasláno na e-mail, který je uveden u konkrétního NIC-Handle, unikátní URL. Toto URL bude obsahovat 21 náhodně vygenerovaných znaků. Těchto 21 znaků je generováno třemi různými náhodnými algoritmy, z nichž každý generuje 7 znaků. Příjemce pak může kliknout na odkaz, aby získal nové heslo. Následně Vám bude zaslán e-mail s potvrzením a s oznámením, že bylo heslo úspěšně změněno. Veškeré e-maily, které OVH posílá, budou obsahovat IP adresu osoby, která o akci požádala.

Tento postup byl nastaven již před více jak 7 měsíci a od té doby nebyl změněn.

26. dubna jsme setekovali interní problém s generováním 21 znaků. 2 ze 3 náhodných funkcí, které používáme v kódu, negenerovali náhodné sekvence. Bylo možné požádat o heslo pro NIC-Handle a najít "unikátní" URL, které bylo zasláno zákazníkovi, pomocí síly. Problém byl odhalen naším vývojářem 26.4. v 11:03:14 a byl opraven ve 12:54:13. Příčinou problému byla náhodná funkce použita v této části kódu. Starou funkci, která generovala 3 sekvence o celkových 21 znacích jsme nehradili pomocí 2 funkcích, které generují 64 znaků.

Poté jsme vyhledávali v našich databázích, zda byla tato mezera v zabezpečení použita, a jesltiže ano, tak kdy. Vyhledávali jsme v logách změn hesel u našich ID za poslední 3 roky. V současnosti máme autorizaci od CNIL (autorita ochrany dat ve Francii) pro archivování a používání všech našich back office logů po dobu 10 let. Přesně kvůli těmto situacím.

Detekovali jsme 3 změněná hesla pomocí síly u třech ID zákazníků s aktivními službami. Tyto tři případy zahrnují i útok zamířený na "bitcoin" komunitu, která používá OVH služby. Vypadá to, že hackeři objevily mezeru v zabezpečení 23. 4. ve 22:00 a spustili velký počet testů pro vývoj této taktiky po následující 1 hodinu. Ve 23:00 měli vše doladěno a byl hacknut první NIC-Handle, a následující dan další 2 NIC-Handly (vše z bitcoin komunity). Těmito zákazníky jsme byly kontaktováni, ale kvalita výměny informací zabránila identifikaci bezpečnostní chyby. Díky našemu vývojáři, jsme tento problém opravili z naší strany, nezávysle na informacích od zákazníků. Až poté jsme začali spojovat tuto bezpečnostní chybu se třemi hacknutými zákazníky. Získali jsme tím cennou lekci co se týče komunikace se zákazníky v takovýchto situacích.

Nežli jsme tuto informaci někomu sdělili, zjistili jsme, že byl zasažen malý počet našich zákazníků (jen 3 NIC-Handly) a potřebovali jsme si ještě vše zkontrolovat, abchom měli naprostou jistotu, že byly zasaženi opravdu jen tři zázkazníci z "bitcoin" komunity. Dnes jsme spustili vyhledávání podobných případů za poslední 3 roky a opravdu nikdo jiný tímto incidentem postižen nebyl. Nicméně budeme ještě prověřovat všechna data 10 let zpátky.

Mám dojem, že ač došlo k minimálnímu dopadu na naše zákazníky, musíte být o tomto bezpečnostním incidentu, se kterým jsme se minulý týden potýkali, informováni. Implementovali jsme code-review na tři velmi staré části OVH systému, který nebyl přepisován po několik minulých let a raději se přesvědčíme, že tam také nejsou žádný podobné chyby. Právě probíhá proces hledání možností, jak vylepšit komunikaci mezi OVH a zákazníky v těkovýchto situacích. A to s přihlédnutím k tomu, že dva ze tří napadených zákazníků byly z poboček.

Shrnutí:
Ano, měli jsme bezpečnostní chybu umožňující změnu hesla k zákaznickému ID přes systém, který silou prolomil náš systém.
Doporučili jsme zákazníkům s citlivými daty, aby omezili přístup do manažeru pouze pro vybrané IP adresy.

Ano, tři zákazníci z komunity "bitcoin" byly ovlivněny touto chybou. Je velmi důležité číst e-maily, které OVH automaticky zákazníkům zasílá, včetně těch, které požadují změnu hesla, a které nebyly vyžádány Vámi a také e-maily, potvrzující úspěšnou změnu hesla. Stane-li se něco podobného, neváhejte kontaktovat 24/7 náš incident tým a ten Vám dočasně může zablokovat Váš účet, nežli dokončíme vyšetřování, co se vlastně děje.

Ne, nebyla prolomena žádná databáze našich klientů.

Ne, jiní zákazníci nebyly tímto incidentem ovlivněni.

Hluboce se omlouváme třem zákazníkům, které tento incident postihl a žádáme je, aby kontaktovali naši obchodní podporu.

S pozdravem,

Octave