We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Bezpečnostní incident


oles@ovh.net
07-22-2013, 03:22 PM
Dobrý den,

před několika dny jsme zjistili, že došlo k narušení interní bezpečnosti našich kanceláří v Roubaix. Během interního vyšetřování vyšlo najevo, že nějaký hacker získal přístup k e-mailovému účtu jednoho z našich systémových administrátorů. Pomocí přístupu k e-mailu se mu potom podařilo získat přístup k VPN jiného zaměstnance a vzápětí získal přístup k účtu systémového administrátora, který má na starosti interní backoffice.

Interní bezpečnost byla založena na dvou stupních verifikace:
- povinnost být v kanceláři nebo použití VPN, tedy založeno na IP adrese
- osobní přístupové heslo

Okamžitě po zjištění hacku jsme změnili intenrní bezpečnostní pravidla:
- hesla všech zaměstnanců byla změněna pro všechny způsoby přístupu
- spustili jsme novou VPN, která běží v zabezpečeném sále PCI-DSS s velmi omezeným přístupem
- příjem interních e-mailů je od nynějška možný pouze z kanceláří nebo přes VPN
- všichni zaměstnanci budou procházet 3 úrovněmi zabezpečení:
-- IP adresa
-- heslo
-- hardwarový klíč (YubiKey)

Během interního vyšetřování tohoto útoku jsme zjistili, že hacker pravděpodobně využil získaný přístup k provedení dvou akcí:
- získání databáze našich evropských zákazníků
- získání přístupu k systému instalace serverů v Québecu

Databáze evropských zákazníků obsahuje tyto osobní údaje: příjmení, jméno, NIC-Handle, adresa, město, země, telefon, fax a zahashované heslo. Heslo je zahashováno pomocí SHA512, aby nešlo použít bruteforce. K získání takto zabezpečeného heslo by bylo třeba velké množství drahé techniky, ale teoreticky to možné je. Proto vám doporučujeme co nejrychlejší změnu hesla k vašemu zákaznickému účtu. Dnes byl všem zákazníkům odeslán e-mail, ve kterém vše vysvětlujeme a zároveň vyzýváme ke změně hesla. Informace o platebních kartách nebyly dotčeny. Dnes již taková data na naší infrastruktuře neskladujeme.

Co se týče systému instalace serverů v Québecu, rizikem je, že pokud zákazník ze svého serveru neodebral SSH klíč OVH, může se hacker připojit k části jeho systému a získat heslo ze souboru .p. Klíč SSH nelze použít z jiného serveru, pouze z naší backoffice v Québecu. Takže pokud zákazník neodstranil náš SSH klíč a nezměnil heslo k účtu root, okamžitě jsme mu vygenerovali nové heslo (u serverů v BHS) a tím případné riziko eliminovali. Během dneška budeme rozesílat e-maily s novým heslem. Klíč SSH bude nadále hned po instalaci systému odstraňován, což se týká jak serverů v Kanadě, tak v Evropě. Pokud bude zákazník potřebovat SSH klíč pro provedení servisního zásahu OVH, bude si muset nainstalovat nový.

V průběhu několika dalších měsíců bude veškerá backoffice převedena na normu PCI-DSS, což zajistí to, že specifický hack konkrétních osob neohrozí data. Jinými slovy, nebyli jsme dostatečně paranoidní, takže od teď jsme super paranoidní. Účelem je zajistit bezpečnost vašich dat a zabezpečit je proti průmyslové špionáži, zaměřené na konkrétní zaměstnance OVH.

Zároveň jsme podali trestní oznámení a celou věc předali orgánům činným v trestním řízení. Vzhledem k probíhajícímu vyšetřování se až do vyřízení celé záležitosti nebudeme k věci nadále vyjadřovat.



Omlouváme se za tento incident a děkujeme za vaše pochopení.


S přátelským pozdravem

Octave