Pertinente ai clienti Zendesk con account attivati prima del 1 novembre 2016

Che cosa è successo?

Di recente siamo stati avvisati da una terza parte in merito a una questione di sicurezza che potrebbe aver interessato i prodotti Zendesk Support e Chat e gli account dei clienti di tali prodotti attivati prima di novembre 2016. Quando siamo venuti a conoscenza di queste informazioni, i team di Zendesk Security e i nostri esperti forensi esterni hanno avviato un’indagine approfondita sull’incidente. Sebbene la nostra indagine sia ancora in corso, il 24 settembre 2019 abbiamo stabilito che le informazioni appartenenti a una piccola percentuale di clienti sono state consultate prima di novembre 2016.

Abbiamo identificato circa 15.000 account Zendesk Support e Chat, inclusi account di prova scaduti e account non più attivi, i cui dati sono stati consultati senza autorizzazione prima di novembre 2016. Le informazioni a cui si è avuto accesso includevano alcune informazioni di identificazione personale (PII) e altri dati di servizio. Non abbiamo trovato prove dell’accesso ai dati dei ticket in relazione a questo incidente.

Le informazioni esposte da questi database includevano i dati seguenti, potenzialmente fino al 1 novembre 2016:

• Indirizzi email, nomi utente e numeri di telefono di agenti e utenti finali di determinati prodotti Zendesk.
• Le password degli agenti e degli utenti finali con hashing e salt (una tecnica di sicurezza usata per renderle difficili da decifrare) potenzialmente fino a novembre 2016.  Non abbiamo trovato prove che queste password siano state usate per accedere a servizi Zendesk in relazione a questo incidente.

AGGIORNAMENTO:  Abbiamo anche stabilito che è stato effettuato l’accesso a determinate informazioni di autenticazione per un set di circa 7.000 account clienti, inclusi gli account di prova scaduti e gli account non più attivi.  Dopo un’ulteriore analisi, abbiamo anche riscontrato un errore e identificato un gruppo di clienti a cui è stato effettuato l’accesso a un numero limitato di certificati TLS, quasi tutti attualmente scaduti. 

Ecco le informazioni interessate:

• Chiavi di crittografia Transport Layer Security (TLS) fornite a Zendesk dai clienti
• Impostazioni di configurazione delle app installate dal marketplace delle app Zendesk o dalle app private. Ciò può includere le chiavi di integrazione usate da tali app per l’autenticazione rispetto a servizi di terzi.

Siamo profondamente dispiaciuti che si sia verificato questo incidente. La sicurezza dei nostri clienti e dei loro dati è di fondamentale importanza per noi.  Il nostro obiettivo è comunicare queste informazioni il più rapidamente possibile con trasparenza e indicazioni su come indirizzarle. Aggiorneremo e condivideremo ulteriori informazioni post del blog non appena diventa disponibile.

Che cosa è stato fatto per rimediare alla situazione?

In questa fase, il nostro team di sicurezza e un team forense di terzi stanno ancora completando le indagini e le analisi approfondite. Sulla base delle informazioni a nostra disposizione, abbiamo anche intrapreso le seguenti azioni:

• Coinvolgimento di un team di esperti forensi esterni per convalidare questa questione di sicurezza e determinare i dati e le informazioni esatti che sono stati esposti.
• Attivazione del nostro team interno di risposta alla sicurezza dei dati e del nostro protocollo. Questo team continua a indagare con risorse complete dedicate a determinare come si è verificata questa esposizione.
• Informare le forze dell’ordine e le agenzie di regolamentazione globali competenti.
• Informare direttamente tutti i clienti interessati e condividere i passaggi che stiamo intraprendendo per salvaguardare i loro account e dati e le azioni aggiuntive che possono intraprendere da soli.
• Implementazione a scopo precauzionale delle rotazioni delle password per determinati utenti finali e agenti creati prima del 1 novembre 2016. 
• Nelle prossime 24 ore, Zendesk inizierà a implementare la rotazione delle password per tutti gli agenti attivi in Support e Chat e per tutti gli utenti finali in Support creati prima del 1 novembre 2016. Per comodità, consigliamo agli utenti di cambiare la password in anticipo.   Questa rotazione delle password influirà su tutti gli altri prodotti che condividono l’autenticazione con Support, inclusi Guide, Talk ed Explore. 
• Al prossimo accesso, ciascuno di questi utenti dovrà creare una nuova password. Tieni presente che se usi l’autenticazione di base nelle API Zendesk o Chat tramite la tua password, dovrai ristabilire la connessione a tali API dopo aver cambiato la password.  Questa rotazione delle password non influirà sull’uso di token API o OAuth.
• Non ne risentirai se siamo stati in grado di identificare che hai aggiornato la password dal 1 novembre 2016 o se usi Single Sign-on.

Cosa devo fare?

Se hai ricevuto un’email da parte nostra in cui si dice che avevi un account prima del 1 novembre 2016, ti consigliamo di procedere come segue:

• Se prima del 1° novembre 2016 avevi installato un’app privata o Zendesk Marketplace che salvava credenziali di autenticazione come chiavi API o password durante l’installazione, ti consigliamo di ruotare tutte le credenziali per la rispettiva app. Puoi estrarre l’elenco delle installazioni di app e le relative date di installazione usando /v2/apps/installations.json API endpoint.
• Inoltre, se prima del 1 novembre 2016 hai caricato in Zendesk un certificato TLS ancora valido, ti consigliamo di caricare un nuovo certificatoe di revocare quello precedente.
• Anche se al momento non abbiamo indicazioni sull’accesso ad altre credenziali di autenticazione, i clienti potrebbero voler prendere in considerazione la possibilità di cambiare le credenziali di autenticazione usate nei prodotti Zendesk prima del 1 novembre 2016. Non è necessario ruotare i token API in Chat.

I miei dati Zendesk sono al sicuro?

Sebbene nessuna misura di sicurezza possa essere considerata efficace al 100%, Zendesk ha investito in modo significativo nel suo programma di sicurezza dal 2016. Da allora, abbiamo investito in modo significativo nel nostro Programma di sicurezza, che include l’implementazione di una protezione aggiuntiva dei dati personali sensibili implementando e allineando la conservazione dei registri e dei dati al regolamento generale sulla protezione dei dati (GDPR); l’ implementazionedel Customer Controlled User Presupposto (CCUA), che limita l’accesso dei dipendenti Zendesk ai dati del servizio clienti e raddoppia le dimensioni del nostro team di sicurezza.

In questa fase, il nostro team di sicurezza e un team forense di terzi stanno ancora completando le indagini e l'analisi approfondite di questo incidente. Una volta completata questa indagine, cercheremo anche di condividere ulteriori informazioni.

Come funziona la rotazione delle password?

Nelle prossime 24 ore, Zendesk inizierà a ruotare le credenziali per gli agenti e gli utenti finali che non hanno effettuato la rotazione delle credenziali dal 1 novembre 2016 e che non usano Single Sign-On.

Questa rotazione delle password influirà su tutti gli altri prodotti che condividono l’autenticazione con Support, inclusi Guide, Talk ed Explore. Al prossimo accesso, ciascuno di questi utenti dovrà creare una nuova password. Per comodità, consigliamo agli utenti di cambiare la password in anticipo. 

Tieni presente che se usi l’autenticazione di base nelle API Zendesk o Chat tramite la tua password, dovrai ristabilire la connessione a tali API dopo aver cambiato la password.  Questa rotazione delle password non influirà sull’uso di token API o OAuth. Non sarai interessato da questo se siamo stati in grado di identificare che hai aggiornato la tua password dal 1 novembre 2016 o se usi Single Sign-on.

Il mio account Zendesk è stato creato dopo il 1 novembre 2016. Significa che non sono interessato?

Corretto. Non abbiamo prove che indichino che gli account creati dopo il 1 novembre 2016 siano stati interessati.

I miei dati di servizio Zendesk sono stati compromessi? 

Non abbiamo stabilito che le PII o altri dati di servizio di clienti diversi dai 10.000 account che abbiamo identificato in modo specifico siano stati oggetto di accesso. Se abbiamo stabilito che il tuo account è stato interessato, ti abbiamo avvisato in modo specifico e stiamo condividendo i passaggi che stiamo adottando per salvaguardare il tuo account e i tuoi dati e ulteriori azioni che puoi intraprendere.

Quali prodotti Zendesk sono interessati?

Non abbiamo prove che i prodotti diversi da Support e Chat siano stati interessati.  Tieni presente che il la rotazione delle password che stiamo implementando influirà anche su tutti gli altri prodotti che condividono l’autenticazione con Support, inclusi Guide, Talk ed Explore. BIME, Connect, Sell e Smooch non sono stati interessati e non saranno interessati dalla rotazione delle password.

Devo segnalare questo incidente alla mia autorità di vigilanza per la protezione dei dati?

Se abbiamo stabilito che i tuoi dati di servizio, incluse eventuali PII, sono stati compromessi, abbiamo comunicato specificatamente con te in merito a tale determinazione. In caso contrario, non abbiamo trovato prove che le PII o altri dati di servizio siano stati compromessi.  

I clienti Zendesk sono i titolari del trattamento dei dati del servizio e Zendesk è un responsabile del trattamento dei dati dei dati del servizio quando esegue il servizio Zendesk. Ciò significa che spetta a ciascun cliente determinare se, ai sensi dell’articolo 33 del Regolamento generale sulla protezione dei dati 2016/679 (GDPR), è tenuto a notificare la propria autorità di vigilanza, a seconda che le soglie di rischio pertinenti siano state rispettate ai sensi del GDPR.  Ti metteremo a disposizione tutte le informazioni in nostro possesso per aiutarti a prendere questa decisione.

Puoi dirmi cosa è stato specificamente compromesso/un elenco di dati che sono stati compromessi?

Se abbiamo stabilito che i tuoi dati di servizio, incluse eventuali PII, sono stati compromessi, abbiamo comunicato specificatamente con te in merito a tale determinazione e lavoreremo con te per fornire maggiori dettagli.  Se non ti abbiamo comunicato specificamente che i tuoi dati di servizio sono stati compromessi, non abbiamo prove che lo sia. 

Dove pubblicherai aggiornamenti e post mortem?

Continueremo a pubblicare aggiornamenti importanti a questo articolo del centro assistenza secondo necessità, incluso un post mortem pubblico una volta completato. Una volta completata questa indagine, cercheremo di condividere ulteriori informazioni tramite il nostro sito web e il nostro blog.

Dove posso trovare ulteriori informazioni sui programmi di sicurezza?

I clienti che desiderano ottenere maggiori informazioni o risposte a domande specifiche sul nostro programma di sicurezza possono consultare la sezione Sicurezza del nostro sito web all’indirizzo https://www.zendesk.com/product/zendesk-security/.