Relevant für Zendesk-Kunden, deren Konto vor dem 1. November 2016 aktiviert wurde

Was ist passiert?

Kürzlich wurden wir von Dritten über ein Sicherheitsproblem informiert, das möglicherweise Zendesk Support- und Chat-Produkte sowie Kundenkonten dieser Produkte betrifft, die vor November 2016 aktiviert wurden. Als wir Kenntnis von diesen Informationen erhielten, leiteten die Zendesk-Sicherheitsteams und unsere externen Forensik-Experten eine umfassende Untersuchung des Vorfalls ein. Während unsere Untersuchung noch nicht abgeschlossen ist, haben wir am 24. September 2019 festgestellt, dass vor November 2016 auf Informationen eines kleinen Prozentsatzes der Kunden zugegriffen wurde.

Wir haben rund 15.000 Zendesk Support- und Chat-Konten identifiziert, einschließlich abgelaufene Testkonten und nicht mehr aktive Konten, auf deren Kontoinformationen vor November 2016 ohne Autorisierung zugegriffen wurde. darunter bestimmte personenbezogene Informationen (PII) und andere Servicedaten. Wir haben keine Hinweise darauf gefunden, dass in Verbindung mit diesem Vorfall auf Ticketdaten zugegriffen wurde.

Die aus diesen Datenbanken bereitgestellten Informationen umfassten die folgenden Daten, möglicherweise bis zum 1. November 2016:

• E-Mail-Adressen, Benutzernamen und Telefonnummern von Agenten und Endbenutzern bestimmter Zendesk-Produkte.
• Agenten- und Endbenutzerkennwörter, die bis zum November 2016 gespeichert und aufgrund einer Sicherheitstechnik schwer zu entschlüsseln waren.  Wir haben keine Hinweise darauf gefunden, dass diese Kennwörter zum Zugriff auf Zendesk-Services in Verbindung mit diesem Vorfall verwendet wurden.

UPDATE:  Wir haben außerdem festgestellt, dass bei rund 7.000 Kundenkonten, einschließlich abgelaufener Testkonten und nicht mehr aktiver Konten, auf bestimmte Authentifizierungsinformationen zugegriffen wurde.  Bei weiterer Analyse haben wir außerdem einen Fehler gefunden und eine Gruppe von Kunden identifiziert, die auf eine kleine Anzahl von TLS-Zertifikaten zugegriffen haben, von denen fast alle derzeit abgelaufen sind. 

Die folgenden Informationen sind betroffen:

• TLS-Verschlüsselungsschlüssel (Transport Layer Security), die Zendesk von Kunden bereitgestellt werden
• Konfigurationseinstellungen von Apps, die aus dem Zendesk Apps Marketplace installiert wurden oder von privaten Apps. Hierzu gehören möglicherweise auch Integrationsschlüssel, die von diesen Apps zur Authentifizierung bei Diensten von Drittanbietern verwendet werden.

Wir bedauern zutiefst, dass es zu diesem Vorfall gekommen ist. Die Sicherheit unserer Kunden und ihrer Daten ist für uns sehr wichtig.  Unser Ziel ist es, diese Informationen so schnell wie möglich mit Transparenz und Anweisungen zur Kontaktaufnahme zu kommunizieren. Wir werden diese aktualisieren und weitere Informationen veröffentlichen hinzufügen, sobald er verfügbar ist.

Was wurde unternommen, um die Situation zu verbessern?

Gegenwärtig sind unser Sicherheitsteam und ein externes Forensikteam noch dabei, die eingehende Untersuchung und Analyse durchzugehen. Basierend auf den bisherigen Informationen haben wir zudem die folgenden Maßnahmen ergriffen:

• Ein Team externer forensischer Experten beauftragen, diese Sicherheitsfrage zu validieren und die genauen Daten und Informationen zu bestimmen, die offengelegt wurden.
• Aktivieren unseres internen Datensicherheitsteams und -protokolls. Dieses Team ermittelt weiterhin mit allen verfügbaren Ressourcen, um herauszufinden, wie es zu dieser Offenlegung kam.
• Informieren von Strafverfolgungsbehörden und zuständigen globalen Regulierungsbehörden.
• Wir informieren alle betroffenen Kunden direkt und teilen mit, welche Schritte wir unternehmen, um ihre Konten und Daten zu schützen, und welche weiteren Aktionen sie selbst durchführen können.
• Implementieren Sie als Sicherheitsmaßnahme die Kennwortrotation für bestimmte Endbenutzer und Agenten, die vor dem 1. November 2016 erstellt wurden. 
• In den nächsten 24 Stunden wird Zendesk mit der Implementierung der Kennwortrotation für alle aktiven Agenten in Support und Chat sowie für alle Support-Endbenutzer beginnen, die vor dem 1. November 2016 erstellt wurden. Wir empfehlen Benutzern, ihr Kennwort vorab zu ändern.   Diese Kennwortrotation wirkt sich auf alle anderen Produkte aus, die sich gemeinsam mit Zendesk Support authentifizieren, einschließlich Guide, Talk und Explore. 
• Bei der nächsten Anmeldung muss jeder dieser Benutzer ein neues Kennwort erstellen. Wenn Sie die Standardauthentifizierung für die Zendesk- oder Chat-APIs per Kennwort verwenden, müssen Sie nach dem Ändern Ihres Kennworts die Verbindung zu diesen APIs wiederherstellen.  Diese Kennwortdrehung hat keine Auswirkungen auf die Verwendung von API- oder OAuth-Token.
• Sie sind davon nicht betroffen, wenn wir feststellen können, dass Sie Ihr Kennwort nach dem 1. November 2016 aktualisiert haben oder wenn Sie Single-Sign-On verwenden.

Was soll ich tun?

Wenn Sie eine E-Mail von uns erhalten haben, dass Sie vor dem 1. November 2016 ein Konto hatten, empfehlen wir die folgenden Schritte:

• Wenn Sie vor dem 1. November 2016 einen Zendesk Marketplace oder eine private App installiert haben, bei der Authentifizierungsdaten wie API-Schlüssel oder Kennwörter gespeichert wurden, empfehlen wir, alle Anmeldedaten für die jeweilige App zu wechseln. Über /v2/apps/installations.json API endpointkönnen Sie eine Liste der App-Installationen und des entsprechenden Installationsdatums abrufen.
• Wenn Sie vor dem 1. November 2016 ein noch gültiges TLS-Zertifikat hochgeladen haben, empfehlen wir Ihnen, ein neues Zertifikat hochzuladenund das alte zu widerrufen.
• Obwohl gegenwärtig keine Hinweise darauf liegen, dass ein Zugriff auf andere Authentifizierungsdaten stattgefunden hat, sollten Kunden die vor dem 1. November 2016 in Zendesk-Produkten verwendeten rotierenden Authentifizierungsdaten verwenden. API-Token in Chat müssen nicht rotiert werden.

Sind meine Zendesk-Daten sicher?

Obwohl keine Sicherheitsmaßnahme zu 100 % effektiv ist, investiert Zendesk seit 2016 erheblich in sein Sicherheitsprogramm. Seitdem haben wir stark in unser investiert Sicherheitsprogramm, einschließlich Einführung zusätzlicher Schutz sensibler personenbezogener Daten durch Implementierung und Angleichung der Protokollierung und Datenaufbewahrung an die Datenschutz-Grundverordnung (DSGVO); Wir haben also die kundengesteuerteBenutzerannahme (CCUA) implementiert,die den Zugriff der Zendesk-Mitarbeiter auf Kundenservicedaten beschränkt und die Größe unseres Sicherheitsteams mehr als verdoppelt.

Gegenwärtig sind unser Sicherheitsteam und ein externes Forensikteam noch dabei, die eingehende Untersuchung und Analyse dieses Vorfalls zu beenden. Nach Abschluss dieser Untersuchung werden wir weitere Informationen bereitstellen.

Wie funktioniert die Kennwortrotation?

In den nächsten 24 Stunden beginnt Zendesk, die Anmeldedaten für die Agenten und Endbenutzer zu rotieren, die ihre Anmeldedaten seit dem 1. November 2016 nicht mehr geändert haben und kein Single-Sign-On verwenden.

Diese Kennwortrotation wirkt sich auf alle anderen Produkte aus, die sich gemeinsam mit Zendesk Support authentifizieren, einschließlich Guide, Talk und Explore. Bei der nächsten Anmeldung muss jeder dieser Benutzer ein neues Kennwort erstellen. Wir empfehlen Benutzern, ihr Kennwort der Einfachheit halber vor diesem Zeitpunkt zu ändern. 

Wenn Sie die Standardauthentifizierung für die Zendesk- oder Chat-APIs per Kennwort verwenden, müssen Sie nach dem Ändern Ihres Kennworts die Verbindung zu diesen APIs wiederherstellen.  Diese Kennwortdrehung hat keine Auswirkungen auf die Verwendung von API- oder OAuth-Token. Sie sind davon nicht betroffen, wenn wir feststellen können, dass Sie Ihr Kennwort seit dem 1. November 2016 aktualisiert haben oder wenn Sie Single-Sign-On verwenden.

Mein Zendesk-Konto wurde nach dem 1. November 2016 erstellt. Bin ich dann nicht betroffen?

Richtig. Uns liegen keinerlei Hinweise darauf vor, dass nach dem 1. November 2016 eingerichtete Konten betroffen waren.

Waren meine Zendesk-Servicedaten kompromittiert? 

Wir haben nicht festgestellt, dass auf personenbezogene oder andere Servicedaten von anderen Kunden als auf die 10.000 Konten zugegriffen wurde, die wir ausdrücklich identifiziert haben. Wenn wir festgestellt haben, dass Ihr Konto betroffen ist, haben wir Sie ausdrücklich benachrichtigt und Ihnen mitgeteilt, welche Schritte wir zum Schutz Ihres Kontos und Ihrer Daten ergreifen und welche weiteren Maßnahmen Sie ergreifen können.

Welche Zendesk-Produkte sind betroffen?

Abgesehen von Support und Chat liegen uns keine Hinweise darauf vor, dass andere Produkte betroffen sind.  Bitte beachten Sie, dass die Die neue Kennwortrotation wirkt sich auch auf alle anderen Produkte aus, die sich gemeinsam mit Support authentifizieren, einschließlich Guide, Talk und Explore. BIME, Connect, Sell und Smooch waren von der Kennwortänderung nicht betroffen.

Muss ich diesen Vorfall meiner Datenschutz-Aufsichtsbehörde melden?

Falls wir feststellen, dass Ihre Servicedaten, einschließlich etwaiger PII, kompromittiert wurden, haben wir Sie ausdrücklich darüber informiert. Ansonsten haben wir keine Hinweise darauf gefunden, dass personenbezogene Informationen oder andere Dienstdaten kompromittiert wurden.  

Die Kunden von Zendesk sind die Datenverantwortlichen für die Dienstdaten, und Zendesk ist bei der Bereitstellung des Zendesk-Dienstes der Datenverarbeiter dieser Dienstdaten. Das bedeutet, dass jeder Kunde selbst entscheiden muss, ob er gemäß Artikel 33 der Datenschutz-Grundverordnung 2016/679 (DSGVO) verpflichtet ist, die Aufsichtsbehörde zu benachrichtigen, je nachdem, ob die relevanten Risikoschwellen gemäß der DSGVO erfüllt sind.  Wir stellen Ihnen alle verfügbaren Informationen zur Verfügung, damit Sie diese Entscheidung treffen können.

Können Sie mir sagen, was konkret kompromittiert wurde/eine Liste der kompromittierten Daten?

Falls wir festgestellt haben, dass Ihre Servicedaten, einschließlich etwaiger PII, kompromittiert wurden, haben wir uns ausdrücklich mit Ihnen in Verbindung gesetzt und werden mit Ihnen zusammenarbeiten, um weitere Einzelheiten anzugeben.  Wenn wir Ihnen nicht ausdrücklich mitteilen, dass Ihre Servicedaten kompromittiert wurden, haben wir keinerlei Hinweise darauf. 

Wo werden Sie Aktualisierungen und Post-mortem posten?

Wir werden weitere wichtige Aktualisierungen zu diesem Help-Center-Beitrag veröffentlichen, darunter auch eine öffentliche Post-mortem-Version, sobald der Beitrag fertig ist. Sobald diese Untersuchung abgeschlossen ist, werden wir uns bemühen, auf unserer Website und in unserem Blog weitere Informationen zu veröffentlichen.

Wo finde ich weitere Informationen zu Ihren Sicherheitsprogrammen?

Wenn Sie weitere Informationen oder Antworten auf konkrete Fragen zu unserem Sicherheitsprogramm benötigen, besuchen Sie den Bereich Sicherheit auf unserer Website unter https://www.zendesk.com/product/zendesk-security/.