http://travaux.ovh.net/?do=details&id=8998
Buenos días,
Hace algunos días, hemos descubierto que la
seguridad interna de nuestras oficinas en
Roubaix ha sido vulnerada. Después de las
investigaciones internas hemos encontrado que
un hacker ha conseguido tener acceso a una cuenta
email de un de nuestros administradores de sistemas.
Gracias a este acceso email, ha conseguido tener
acceso al VPN interno de otro empleado. Después,
gracias a este acceso VPN, ha conseguido comprometer
los acceso de uno de los administradores de sistema
que se ocupa del backoffice interno.
La seguridad interna ha sido basada hasta hoy en
2 niveles de verificación:
- la obligación de estar en la oficina o utilizar
el VPN, es decir sobre la ip fuente
- la contraseña personal
Tras este hackeo, hemos inmediatamente cambiado las
reglas de seguridad interna:
- las contraseñas de todos los empleados han sido
cambiadas para todo tipo de acceso.
- hemos puesto en marcha un nuevo VPN en una sala
de seguridad PCI-DSS con acceso muy restringidos
- la consulta de mails internos solo es posible desde
la oficina/VPN
- todas las personas que tienen accesos críticos tienen
que pasar por 3 niveles de verificación :
- la ip fuente
- la contraseña
- el token hardware personal
Durante las investigaciones internas sobre este
incidente de seguridad, hemos descubierto que los
hackers han probablemente utilizado el acceso
privilegiado para hacer 2 acciones :
- recuperar la base de datos de nuestros clientes Europeos
- tener acceso al sistema de instalación de servidores en
Quebec.
La base de datos de clientes Europa tiene los datos
personales de los clientes : los apellidos, el nombre,
el indentificador, la dirección, la ciudad, el país,
el teléfono, el fax y la contraseña cifrada.
El cifrado de la contraseña está "hinchado" y basado en SHA512, para
evitar el bruteforce. Hace falta muchos médios técnicos para encontrar
las contraseña claramente. Pero es posible.
Es por esa razón que le aconsejamos que cambie la contraseña
de su indentificador. Se enviará un email hoy a todos nuestros
clientes explicando el incidente de seguridad y se les
aconsejará que cambien la contraseña.
Los datos sobre las tarjetas de crédito no han sido ni
consultadas ni copiadas. Hoy no las almacenamos en
nuestras infraestructuras.
Sobre el sistema de instalación de servidores en
Quebec, el riesgo que hemos identificado es que
si el cliente no había quitado nuestra llave SSH
del servidor, el hacker podría haberse conectado
a partir de nuestro sistema para recuperar la
contraseña registrada en el fichero .p.
La llave SSH no es utilizable a través de otro
servidor, únicamente desde su backoffice en Quebec.
Y por tanto en la medida en la que el cliente no
haya quitado nuestra llave SSH y no haya cambiado
la contraseña root, hemos cambiado inmediatamente
la contraseña de su servidor en el DC en BHS, para
anular este riesgo. Un email será enviado hoy con
la nueva contraseña. La llave SSH será desde este
momento borrada de manera sistemática al final
de la entrega del servidor tanto en Quebec como
en Europa. Si el cliente necesita que OVH le de
soporte tendrá que reinstalar una nueva llave
SSH.
De manara global, el backoffice pasará en los
próximos meses bajo la norma PCI-DSS que nos
permitirá garantizar que el caso de incidente
ligado a un hack preciso sobre las personas
precisas no tenga impacto sobre nuestras bases
de datos. En una palabra, no hemos sido lo
suficientemente paranóicos y a partir de ahora
pasamos al modo paranóico superior. El objetivo
es de garantizar sus datos y prevenir en el caso
de espionaje industrial que apunten a las persona
que trabajen en OVH.
Hemos puesto una demanda penal ante las autoridades
judiciales. Para no pertubar el trabajo de los
investigadores, no vamos a dar más detalles antes
de tener las conclusiones finales.
Les pedimos perdón por este incidente. Gracias por
su comprensión.
Cordialmente,
Octave