Relevante para los clientes de Zendesk con cuentas activadas antes del 1 de noviembre de 2016

¿Qué pasó?

Recientemente, un tercero nos alertó sobre un asunto de seguridad que podría haber afectado los productos Zendesk Support y Chat y las cuentas de los clientes de esos productos activados antes de noviembre de 2016. Una vez que nos enteramos de esta información, los equipos de seguridad de Zendesk y nuestros expertos forenses externos iniciaron una investigación exhaustiva sobre el incidente. Si bien nuestra investigación aún está en curso, el 24 de septiembre de 2019 determinamos que se accedió a la información que pertenece a un pequeño porcentaje de clientes antes de noviembre de 2016.

Identificamos aproximadamente 15.000 cuentas de Zendesk Support y Chat, incluidas cuentas de prueba vencidas y cuentas que ya no están activas, cuya información de cuenta fue accedida sin autorización antes de noviembre de 2016. La información a la que se accedió incluía cierta información de identificación personal (PII) y otros datos de servicio. No hemos encontrado evidencia de que se haya accedido a los datos del ticket en relación con este incidente.

La información expuesta de estas bases de datos incluía los siguientes datos, posiblemente hasta el 1 de noviembre de 2016:

• Direcciones de correo electrónico, nombres de usuario y números de teléfono de agentes y usuarios finales de ciertos productos Zendesk.
• Contraseñas de agentes y usuarios finales que fueron procesadas con hash y sal (una técnica de seguridad que se usa para hacerlas difíciles de descifrar) posiblemente hasta noviembre de 2016.  No hemos encontrado evidencia de que estas contraseñas se hayan usado para acceder a ningún servicio de Zendesk en relación con este incidente.

ACTUALIZAR:  También hemos determinado que se accedió a cierta información de autenticación para un conjunto de aproximadamente 7.000 cuentas de clientes, incluidas cuentas de prueba vencidas y cuentas que ya no están activas.  Luego de un análisis más detallado, también encontramos un error e identificamos a un grupo de clientes que tenían acceso a una pequeña cantidad de certificados TLS, la mayoría de los cuales están vencidos. 

Esta es la información afectada:

• Claves de cifrado Transport Layer Security (TLS) proporcionadas a Zendesk por los clientes
• Opciones de configuración de las aplicaciones instaladas desde el Marketplace de aplicaciones de Zendesk o aplicaciones privadas. Esto puede incluir las claves de integración que usan esas aplicaciones para autenticarse en servicios de terceros.

Lamentamos profundamente que se haya producido este incidente. La seguridad de nuestros clientes y sus datos es de suma importancia para nosotros.  Nuestro objetivo es comunicar esta información lo más rápido posible con transparencia y orientación sobre cómo abordarla. Actualizaremos y compartiremos más información en este publicación de blog a medida que esté disponible.

¿Qué se ha hecho para remediar la situación?

En esta etapa, nuestro equipo de seguridad y un equipo forense de terceros aún están completando su investigación y análisis en profundidad. Según la información que tenemos hasta la fecha, también hemos tomado las siguientes medidas:

• Contratar a un equipo de expertos forenses externos para validar este asunto de seguridad y determinar los datos e información exactos que fueron expuestos.
• Activar nuestro equipo y protocolo de respuesta de seguridad de datos internos. Este equipo continúa investigando con todos los recursos dedicados a determinar cómo ocurrió esta exposición.
• Informar a los organismos encargados de hacer cumplir la ley y a los organismos reguladores mundiales correspondientes.
• Informar directamente a todos los clientes afectados y compartir los pasos que estamos tomando para proteger sus cuentas y datos, y las acciones adicionales que pueden tomar ellos mismos.
• Implementar como medida de precaución la rotación de contraseñas para ciertos usuarios finales y agentes creados antes del 1 de noviembre de 2016. 
• En las próximas 24 horas, Zendesk comenzará a implementar rotaciones de contraseñas para todos los agentes activos en Support y Chat, y todos los usuarios finales en Support creados antes del 1 de noviembre de 2016. Recomendamos que los usuarios cambien su contraseña con anticipación para mayor comodidad.   Esta rotación de contraseñas afectará a todos los demás productos que comparten la autenticación con Support, incluidos Guide, Talk y Explore. 
• La próxima vez que inicien sesión, cada uno de estos usuarios deberá crear una nueva contraseña. Tenga en cuenta que si utiliza la autenticación básica en las API de Zendesk o Chat a través de su contraseña, tendrá que restablecer la conexión con esas API después de cambiar su contraseña.  Esta rotación de contraseñas no afectará el uso de tokens de API o OAuth.
• Esto no le afectará si hemos podido identificar que ha actualizado su contraseña desde el 1 de noviembre de 2016 o si usa el inicio de sesión único.

¿Qué me recomiendan hacer?

Si ha recibido un mensaje de correo electrónico de nosotros que dice que tenía una cuenta antes del 1 de noviembre de 2016, le recomendamos que siga los siguientes pasos:

• Si instaló una aplicación privada o del Marketplace de Zendesk antes del 1 de noviembre de 2016 que guardó las credenciales de autenticación, como las claves de API o las contraseñas, durante la instalación, le recomendamos que rote todas las credenciales para la aplicación respectiva. Puede obtener la lista de instalaciones de aplicaciones y sus fechas de instalación correspondientes usando /v2/apps/installations.json API endpoint.
• Además, si cargó un certificado TLS en Zendesk antes del 1 de noviembre de 2016 que aún es válido, le recomendamos que cargue un nuevo certificadoy revoque el anterior.
• Si bien no tenemos indicios en este momento de que se haya accedido a otras credenciales de autenticación, los clientes pueden considerar la posibilidad de rotar las credenciales de autenticación utilizadas en los productos Zendesk antes del 1 de noviembre de 2016. No es necesario rotar los tokens de API en Chat.

¿Están seguros mis datos de Zendesk?

Si bien ninguna medida de seguridad puede considerarse 100 % eficaz, Zendesk ha invertido significativamente en su programa de seguridad desde 2016. Desde entonces, hemos realizado importantes inversiones en nuestros Security Program, que incluye la implementación de protección adicional de datos personales confidenciales mediante la implementación y la alineación de la retención de registros y datos con el Reglamento general de protección de datos (GDPR); implementando la Asunción de usuario controlada por el cliente (CCUA), que restringe el acceso que los empleados de Zendesk tienen a los datos de atención al cliente y más del doble del tamaño de nuestro equipo de seguridad.

En este momento, nuestro equipo de seguridad y un equipo forense externo aún están completando su investigación y análisis exhaustivos de este incidente. Una vez finalizada esta investigación, también compartiremos más información.

¿Cómo funciona la rotación de contraseñas?

En las próximas 24 horas, Zendesk comenzará a rotar las credenciales de los agentes y usuarios finales que no hayan rotado sus credenciales desde el 1 de noviembre de 2016 y que no estén usando el inicio de sesión único.

Esta rotación de contraseñas afectará a todos los demás productos que comparten la autenticación con Support, incluidos Guide, Talk y Explore. La próxima vez que inicien sesión, cada uno de estos usuarios deberá crear una nueva contraseña. Recomendamos a los usuarios que cambien su contraseña antes de esta hora para mayor comodidad. 

Tenga en cuenta que si utiliza la autenticación básica en las API de Zendesk o Chat a través de su contraseña, tendrá que restablecer su conexión con esas API después de cambiar su contraseña.  Esta rotación de contraseñas no afectará el uso de tokens de API o OAuth. Esto no le afectará si hemos podido identificar que ha actualizado su contraseña desde el 1 de noviembre de 2016 o si usa el inicio de sesión único.

Mi cuenta de Zendesk fue creada después del 1 de noviembre de 2016. ¿Significa eso que no me afecta?

Correcto. No tenemos evidencia que indique que las cuentas creadas después del 1 de noviembre de 2016 se vieron afectadas.

¿Se vieron comprometidos mis datos de servicio de Zendesk? 

No hemos establecido que se haya accedido a PII u otros Datos de servicio de clientes que no sean las 10.000 cuentas que hemos identificado específicamente. Si determinamos que su cuenta se vio afectada, se lo notificaremos específicamente y compartiremos los pasos que estamos tomando para proteger su cuenta y sus datos, y las acciones adicionales que puede tomar.

¿Qué productos de Zendesk se ven afectados?

No tenemos evidencia de que otros productos que no sean Support y Chat se hayan visto afectados.  Tenga en cuenta que el la rotación de contraseñas que estamos implementando también afectará a todos los demás productos que comparten la autenticación con Support, incluidos Guide, Talk y Explore. BIME, Connect, Sell y Smooch no se vieron afectados y no se verán afectados por nuestra rotación de contraseñas.

¿Tengo que informar este incidente a mi autoridad de supervisión de protección de datos?

Si hemos determinado que sus Datos de servicio, incluida cualquier PII, se han visto comprometidos, nos hemos comunicado específicamente con usted sobre esa determinación. De lo contrario, no hemos encontrado evidencia de que la PII u otros Datos de servicio se hayan visto comprometidos.  

Los clientes de Zendesk son los Controladores de datos de los Datos de servicio, y Zendesk es un Procesador de datos de esos Datos de servicio cuando presta el Servicio de Zendesk. Esto significa que depende de cada cliente determinar si, de conformidad con el artículo 33 del Reglamento general de protección de datos 2016/679 (RGPD), está obligado a notificar a su autoridad de supervisión, dependiendo de si se han alcanzado los umbrales de riesgo correspondientes según el RGPD.  Pondremos a su disposición toda la información que tengamos para ayudarle a tomar esta decisión.

¿Puede decirme qué se vio comprometido específicamente o una lista de los datos que se vieron comprometidos?

Si hemos determinado que sus Datos de servicio, incluida cualquier PII, se han visto comprometidos, nos hemos comunicado específicamente con usted sobre esa determinación y trabajaremos con usted para proporcionarle más detalles.  Si no le hemos comunicado específicamente que sus Datos de servicio fueron comprometidos, no tenemos evidencia de que así fuera. 

¿Dónde se publicarán las actualizaciones y la autopsia?

Continuaremos publicando actualizaciones importantes a este artículo del centro de ayuda según sea necesario, incluida una autopsia pública una vez que esté terminado. Una vez finalizada la investigación, compartiremos más información a través de nuestro sitio web y nuestro blog.

¿Dónde puedo encontrar más información sobre los programas de seguridad?

Los clientes que deseen obtener más información o respuestas a preguntas específicas sobre nuestro programa de seguridad pueden consultar la sección Seguridad de nuestro sitio web en https://www.zendesk.com/product/zendesk-security/.