2016년 11월 1일 이전에 계정이 활성화된 Zendesk 고객에게 해당

어떤 결정을 내리셨나요?

2016년 11월 이전에 활성화된 Zendesk Support 및 Chat 제품 및 해당 제품의 고객 계정에 영향을 미쳤을 수 있는 보안 문제에 대해 최근 제3자로부터 알림을 받았습니다. 이러한 정보를 알게 된 후 Zendesk 보안 팀과 외부 포렌식 전문가들이 사건에 대한 포괄적인 조사에 착수했습니다. 조사가 아직 진행 중이지만 2019년 9월 24일에 소수의 고객에 속한 정보가 2016년 11월 이전에 액세스된 것으로 확인되었습니다.

만료된 평가판 계정과 더 이상 활성 상태가 아닌 계정을 포함하여 2016년 11월 이전에 권한 부여 없이 계정 정보에 액세스한 약 15,000개의 Zendesk Support 및 Chat 계정을 확인했습니다. 액세스한 정보에는 일부 개인 식별 정보(PII) 및 기타 서비스 데이터가 포함되었습니다. 이 사건과 관련하여 티켓 데이터에 액세스했다는 증거를 찾지 못했습니다.

이러한 데이터베이스에서 노출된 정보에는 2016년 11월 1일까지의 데이터가 포함되어 있었습니다.

• 특정 Zendesk 제품의 상담원 및 최종 사용자의 이메일 주소, 사용자 이름 및 전화번호.
• 2016년 11월까지 해시 및 솔트 처리된 상담원 및 최종 사용자 비밀번호(해싱을 어렵게 만드는 보안 기술)  이러한 비밀번호가 이 사건과 관련하여 Zendesk 서비스에 액세스하는 데 사용되었다는 증거를 찾지 못했습니다.

업데이트:  또한만료된 평가판 계정과 더 이상 활성 상태가 아닌 계정을 포함하여약 7,000개의 고객 계정 집합에 대해 특정 인증 정보에 액세스한 것으로 확인 되었습니다..  추가 분석 결과 오류가 발견되어 현재 거의 모든 인증서가 만료된 소수의 TLS 인증서에 액세스한 고객 그룹을 확인했습니다. 

영향을 받는 정보는 다음과 같습니다.

• 고객이 Zendesk에 제공한 TLS(Transport Layer Security) 암호화 키
• Zendesk 앱 마켓플레이스 또는 비공개 앱에서 설치된 앱의 구성 설정입니다. 여기에는 타사 서비스에 대해 인증하기 위해 그러한 앱에서 사용하는 연동 키가 포함될 수 있습니다.

이런 일이 발생하게 되어 매우 유감입니다. Zendesk는 고객과 고객 데이터의 안전과 보안을 매우 중요하게 생각합니다..  Zendesk의 목표는 투명성과 해결 방법에 대한 안내를 통해 이러한 정보를 가능한 빨리 전달하는 것입니다. 이 에서 더 많은 정보를 업데이트하고 공유할 예정입니다. 블로그 게시물 을 사용할 수 있게 되면

상황을 해결하기 위해 어떤 조치를 취했나요?

현재 Zendesk 보안 팀과 타사 포렌식 팀에서 심도 있는 조사 및 분석을 완료하는 중입니다. 지금까지 얻은 정보를 바탕으로 다음과 같은 조치도 취했습니다.

• 외부 포렌식 전문가 팀과 협력하여 이 보안 문제를 검증하고 노출된 정확한 데이터와 정보를 파악합니다.
• 내부 데이터 보안 대응 팀 및 프로토콜 활성화하기 문서를 참조하세요. 이 팀은 이러한 노출이 어떻게 발생했는지 파악하는 데 전담 인력을 투입하여 조사를 계속합니다.
• 법 집행 기관 및 해당 글로벌 규제 기관에 알리기
• 영향을 받는 모든 고객에게 직접 알리고 고객의 계정과 데이터를 보호하기 위해 취하는 조치와 고객이 스스로 취할 수 있는 추가 조치를 공유합니다.
• 예방 조치로 2016년 11월 1일 이전에 만들어진 특정 최종 사용자 및 상담사에 대한 비밀번호 순환 구현 
• 앞으로 24시간 내에 Zendesk는 Support 및 Chat의 모든 활성 상담사와 2016년 11월 1일 이전에 만들어진 Support의 모든 최종 사용자에 대해 비밀번호 순환을 구현하기 시작합니다. 사용자의 편의를 위해 미리 비밀번호를 변경하는 것이 좋습니다.   이 비밀번호 순환은 Guide, Talk 및 Explore를 포함하여 Support와 인증을 공유하는 다른 모든 제품에 영향을 미칩니다. 
• 다음에 로그인할 때 이러한 각 사용자는 새 비밀번호를 만들어야 합니다. 비밀번호를 통해 Zendesk 또는 Chat API에 대한 기본 인증을 사용하는 경우에는 비밀번호 변경 시 그러한 API에 대한 연결을 다시 설정해야 합니다.  이 비밀번호 순환은 API 또는 OAuth 토큰 사용에 영향을 미치지 않습니다.
• 2016년 11월 1일 이래 비밀번호를 업데이트한 것으로 확인되었거나 통합 인증을 사용하는 경우에는 이로 인해 영향을 받지 않습니다.

그럼 어떻게 해야 하나요?

2016년 11월 1일 이전에 계정이 있었다는 이메일을 받았다면 다음 단계를 따르시기 바랍니다.

• 2016년 11월 1일 이전에 Zendesk 마켓플레이스나 비공개 앱을 설치하여 설치 중 API 키나 비밀번호와 같은 인증 자격 증명을 저장한 경우에는 해당 앱의 모든 자격 증명을 순환하는 것이 좋습니다. /v2/apps/installations.json API 엔드포인트를 사용하여 앱 설치 목록 및 해당 설치 날짜를 가져올 수 있습니다.
• 또한 2016년 11월 1일 이전에 아직 유효한 TLS 인증서를 Zendesk에 업로드한 경우에는 새 인증서를 업로드하고 이전 인증서를 취소하는 것이 좋습니다.
• 현재로서는 다른 인증 자격 증명에 액세스한 흔적이 없지만 고객은 2016년 11월 1일 이전의 Zendesk 제품에서 사용된 인증 자격 증명을 순환하는 것을 고려할 수도 있습니다. Chat의 API 토큰을 순환할 필요가 없습니다.

Zendesk 데이터는 안전한가요?

보안 조치가 100% 효과적이라고 할 수는 없지만 Zendesk는 2016년 이래 보안 프로그램에 상당한 투자를 해 왔습니다. 그 이후로 Zendesk는 보안 프로그램: 개인정보 보호법(GDPR)에 따라 로그 및 데이터 보유를 구현 및 조정함으로써 민감한 개인 데이터에 대한 추가적인 보호 구현을 포함합니다 . 고객 서비스 데이터에 대한 Zendesk 직원의 액세스를 제한하는CCUA(고객 제어 사용자 가정)를 배포하여보안 팀 규모를 두 배 이상 늘렸습니다.

현재 Zendesk 보안 팀과 타사 포렌식 팀에서 이 사건에 대한 심층 조사 및 분석을 완료하고 있습니다. 이 조사가 완료되면 더 많은 정보를 공유하고자 합니다.

비밀번호 순환은 어떻게 작동하나요?

앞으로 24시간 내에 Zendesk는 2016년 11월 1일 이후 자격 증명을 순환하지 않았고 통합 인증을 사용하지 않는 상담원과 최종 사용자에 대해 자격 증명 순환을 시작합니다.

이 비밀번호 순환은 Guide, Talk 및 Explore를 포함하여 Support와 인증을 공유하는 다른 모든 제품에 영향을 미칩니다. 다음에 로그인할 때 이러한 각 사용자는 새 비밀번호를 만들어야 합니다. 사용자의 편의를 위해 이 시간 전에 비밀번호를 변경하는 것이 좋습니다. 

비밀번호를 통해 Zendesk 또는 Chat API에 대한 기본 인증을 사용하는 경우에는 비밀번호를 변경할 때 그러한 API에 대한 연결을 다시 설정해야 합니다.  이 비밀번호 순환은 API 또는 OAuth 토큰 사용에 영향을 미치지 않습니다. 2016년 11월 1일 이래 비밀번호를 업데이트한 것으로 확인되었거나 통합 인증을 사용하는 경우에는 이로 인해 영향을 받지 않습니다.

Zendesk 계정이 2016년 11월 1일 이후에 만들어졌습니다. 영향을 받지 않는다는 뜻인가요?

맞습니다. 2016년 11월 1일 이후에 만든 계정이 영향을 받았다는 증거는 없습니다.

Zendesk 서비스 데이터가 손상되었나요? 

Zendesk는 특별히 식별된 10,000개의 계정 외에 고객의 PII 또는 기타 서비스 데이터에 액세스했다는 사실을 입증하지 못했습니다. 귀하의 계정이 영향을 받은 것으로 확인된 경우에는 특별히 알려 드리며 귀하의 계정과 데이터를 보호하기 위해 취하는 조치와 귀하가 취할 수 있는 추가 조치를 공유합니다.

어떤 Zendesk 제품이 영향을 받나요?

Support와 Chat 외의 다른 제품이 영향을 받았다는 증거는 없습니다.  참고로 구현 중인 비밀번호 순환은 Guide, Talk 및 Explore를 포함하여 Support와 인증을 공유하는 다른 모든 제품에도 영향을 미칩니다. BIME, Connect, Sell 및 Smooch는 영향을 받지 않았으며 비밀번호 순환의 영향도 받지 않습니다.

이 사건을 데이터 보호 감독 기관에 보고해야 하나요?

PII를 포함한 귀하의 서비스 데이터가 손상된 것으로 확인된 경우에는 그러한 결정에 대해 귀하에게 구체적으로 알려 드렸습니다. 그렇지 않으면 PII 또는 기타 서비스 데이터가 손상되었다는 증거를 찾지 못했습니다.  

Zendesk의 고객은 서비스 데이터의 데이터 컨트롤러이며, Zendesk는 Zendesk 서비스를 수행할 때 해당 서비스 데이터의 데이터 처리자입니다. 즉 GDPR에 따라 관련 위험 임계값이 충족되었는지 여부에 따라 GDPR(일반 데이터 보호 규정) 2016/679(GDPR) 33조에 따라 감독 기관에 알리는 것이 필요한지 여부를 결정하는 것은 각 고객의 몫입니다.  이러한 결정을 내리는 데 도움이 되도록 보유한 모든 정보를 제공하겠습니다.

구체적으로 무엇이 손상되었는지/훼손된 데이터 목록을 알려주실 수 있나요?

PII를 포함한 귀하의 서비스 데이터가 손상된 것으로 확인된 경우, 그러한 결정에 대해 귀하와 구체적으로 소통했으며 보다 구체적인 정보를 제공하기 위해 귀하와 협력할 것입니다.  서비스 데이터가 손상되었다는 사실을 구체적으로 알리지 않은 경우에는 손상되었다는 증거가 없습니다. 

업데이트 및 사후 분석을 어디에 게시할 예정인가요?

이 헬프 센터 문서가 완료된 후 공개 사후 분석을 포함하여 필요에 따라 이 헬프 센터 문서에 계속해서 중요한 업데이트를 게시할 예정입니다. 이 조사가 완료되면 웹사이트와 블로그를 통해 더 많은 정보를 공유해 드리겠습니다.

귀사의 보안 프로그램에 대한 자세한 정보는 어디에서 찾을 수 있나요?

Zendesk 보안 프로그램에 대한 자세한 정보나 특정 질문에 대한 답변을 원하는 고객은 https://www.zendesk.kr/product/zendesk-security/에서 Zendesk 웹사이트의 보안 부분을 살펴볼 수있습니다.