OVH Community, your new community space.

incidente de segurança


oles@ovh.net
22-07-13, 15:22
http://estado.ovh.pt/?do=details&id=5070

Olá,

Há alguns dias, descobrimos que a segurança da rede interna
foi comprometida nos nossos escritórios em Roubaix.
Após investigações internas, constatamos que um hacker
conseguiu ganhar acesso à conta de email de um dos nossos
administradores de sistemas. Graças a este acesso ao email,
ele conseguiu ganhar acesso ao login VPN interno de outro
colaborador. Graças a este acesso VPN, o hacker conseguiu
comprometer os acessos de um dos administradores que se ocupa
dos backoffices internos.

A segurança interna até agora era baseada em 2 níveis de verificação:
- Geográfica. A obrigação de estar no escritório ou de utilizar a VPN (verificação do "IP source");
- Pessoal. A palavra-passe;

Medidas tomadas
------------------------------

Como consequência deste "hack" alterámos imediatamente as regras
de segurança internas:

- as palavras-passe foram alteradas para todos os colaboradores;
- foi implementado um novo acesso VPN numa sala segura
PCI-DSS com acesso extremamente restrito.
- a consulta de emails internos apenas é possível no escritório / a partir da VPN
- todos os colaboradores passam agora por 3 níveis
de verificações:

o IP source;
a palavra-passe;
o token pessoal gerado por hardware específico (YubiKey);

Constatações
------------------------------

Com as investigações internas relativas a este incidente
de segurança, suspeitamos que os hackers muito provavelmente
usaram o acesso privilegiado para 2 tipos de ações:

- recuperar a base de dados de clientes na Europa;
- ganhar acesso ao sistema de instalação de servidores no Quebeque.

A base de dados de clientes na Europa comporta informações pessoais:
o nome, sobrenome, NIC-Handle, morada, telefone e a palavra-passe
encriptada.
A encriptação da palavra-passe é baseada em SHA512 (salted),
ou seja, encriptação forte. São necessários muitos meios técnicos
para encontrar a palavra-passe em clear text. Mas, é possível. É por isso
que aconselhamos a alteração da sua palavra-passe associada ao NIC-Handle.
Um email será enviado a todos os clientes a explicar o incidente de segurança
e a convidá-los a alterar a palavra-passe.
As informações sobre cartões de crédito não foram consultadas, nem copiadas
pois não as armazenamos nas nossas infraestruturas.

Em relação ao sistema de instalação de servidores no Quebeque,
o risco que identificamos é nos casos em que o cliente não removeu
a chave SSH do servidor. Nesses casos, o hacker poderia ter usado
a chave SSH para recuperar a password original de instalação do servidor.
A chave SSH não é utilizável a partir de nenhum outro computador. Apenas a
partir do nosso backoffice no Quebeque.
Para os casos em que a palavra-passe root original não foi alterada e a chave SSH
não foi removida, alterámos imediatamente as senhas para evitar problemas.
Um email será enviado hoje aos clientes com a nova senha root.
A chave SSH passará a ser eliminada no final da configuração de um servidor,
de forma sistemática.
Isto, tanto para os servidores na Europa, como para os que estão no Canadá.
Se o cliente necessitar da intervenção do serviço de incidentes para fazer verificações
no servidor, ele terá de instalar uma nova chave SSH.

De forma global, o backoffice passará para a norma PCI-DSS
que nos permitirá garantir que casos de incidentes de hack a uma
determinada conta não crie impacto em outras bases de dados.
Resumindo, a segurança não estava em modo "paranoico" e agora vai
passar para o modo "super paranoico". O objetivo é garantir a segurança
dos dados e podermos precaver-nos contra casos de espionagem industrial
que visam os colaboradores OVH.

Foi também apresentada uma queixa junto das autoridades judiciárias.
A fim de não perturbar os trabalhos de investigação, não vão ser comunicados
mais detalhes antes das conclusões finais.

Apresentamos as nossas sinceras desculpas pelo incidente e agradecemos a vossa compreensão.

Amigavelmente,
Octave.