Relevante para clientes do Zendesk com contas ativadas antes de 1º de novembro de 2016

O que aconteceu?

Recentemente, fomos alertados por terceiros sobre um problema de segurança que pode ter afetado os produtos Zendesk Support e Chat e as contas de clientes desses produtos ativados antes de novembro de 2016. Assim que tomamos conhecimento dessas informações, as equipes de segurança da Zendesk e nossos especialistas forenses externos iniciaram uma investigação abrangente sobre o incidente. Enquanto nossa investigação ainda está em andamento, em 24 de setembro de 2019, determinamos que as informações pertencentes a uma pequena porcentagem de clientes foram acessadas antes de novembro de 2016.

Identificamos aproximadamente 15.000 contas do Zendesk Support e Chat, incluindo contas de avaliação expiradas e contas que não estão mais ativas, cujas informações da conta foram acessadas sem autorização antes de novembro de 2016. As informações acessadas incluíam algumas informações de identificação pessoal (IIP) e outros dados de serviço. Não encontramos evidências de que os dados do ticket foram acessados em relação a esse incidente.

As informações expostas desses bancos de dados incluíam os seguintes dados, possivelmente até 1º de novembro de 2016:

• Endereços de email, nomes de usuário e números de telefone de agentes e usuários finais de determinados produtos Zendesk.
• Senhas de agentes e usuários finais com hash e salt - uma técnica de segurança usada para dificultar a decifração - possivelmente até novembro de 2016.  Não encontramos evidências de que essas senhas foram usadas para acessar os serviços da Zendesk relacionados a esse incidente.

ATUALIZAR:  Também determinamos que determinadas informações de autenticação foram acessadas para um conjunto de aproximadamente 7.000 contas de clientes, incluindo contas de avaliação expiradas e contas que não estão mais ativas.  Após uma análise mais aprofundada, também encontramos um erro e identificamos um grupo de clientes que tiveram um pequeno número de certificados TLS acessados, quase todos expirados no momento. 

Estas são as informações afetadas:

• Chaves de criptografia TLS (Transport Layer Security) fornecidas à Zendesk pelos clientes
• Configurações de aplicativos instalados do Marketplace de aplicativos do Zendesk ou de aplicativos privados. Isso pode incluir chaves de integração usadas por esses aplicativos para autenticar em serviços de terceiros.

Lamentamos profundamente que esse incidente tenha ocorrido. A segurança de nossos clientes e de seus dados é de suma importância para nós.  Nosso objetivo é comunicar essas informações o mais rápido possível, com transparência e orientação sobre como lidar com elas. Atualizaremos e compartilharemos mais informações neste publicação noblog assim que ela for disponibilizada.

O que foi feito para remediar a situação?

Neste estágio, nossa equipe de segurança e uma equipe forense terceirizada ainda estão concluindo sua investigação e análise aprofundadas. Com base nas informações que temos até o momento, também tomamos as seguintes medidas:

• Contratar uma equipe de especialistas forenses externos para validar essa questão de segurança e determinar os dados e informações exatos que foram expostos.
• Ativação de nossa equipe interna de resposta e protocolo de segurança de dados. Essa equipe continua investigando com todos os recursos dedicados a determinar como essa exposição ocorreu.
• Informar as autoridades legais e as agências regulatórias globais apropriadas.
• Informar diretamente todos os clientes afetados e compartilhar as etapas que estamos tomando para proteger suas contas e dados, além de outras ações que eles próprios podem realizar.
• Implementação, como medida de precaução, de rotações de senha para determinados usuários finais e agentes criados antes de 1º de novembro de 2016. 
• Nas próximas 24 horas, a Zendesk começará a implementar a alternância de senha para todos os agentes ativos no Support e Chat, e todos os usuários finais no Support criado antes de 1º de novembro de 2016. Recomendamos que os usuários alterem suas senhas antecipadamente por conveniência.   Essa rotação de senha afetará todos os outros produtos que compartilham autenticação com o Support, incluindo Guide, Talk e Explore. 
• No próximo acesso, cada um desses usuários deverá criar uma nova senha. Observe que, se você utilizar a autenticação básica nas APIs do Zendesk ou Chat por meio de sua senha, precisará restabelecer sua conexão com essas APIs ao alterar sua senha.  Essa rotação de senha não afetará o uso de tokens da API ou OAuth.
• Você não será afetado por isso se conseguirmos identificar que você atualizou sua senha desde 1º de novembro de 2016 ou se você usa o Single Sign-on.

O que faço?

Se você recebeu um e-mail nosso informando que tinha uma conta antes de 1º de novembro de 2016, recomendamos as seguintes etapas:

• Se você instalou um aplicativo privado ou do Marketplace do Zendesk antes de 1º de novembro de 2016 que salvou credenciais de autenticação, como chaves de API ou senhas durante a instalação, recomendamos que você alterne todas as credenciais para o respectivo aplicativo. Você pode obter a lista de instalações de aplicativos e suas datas de instalação correspondentes usando o ponto deextremidade da API /v2/apps/installations.json.
• Além disso, se você carregou um certificado TLS no Zendesk antes de 1º de novembro de 2016, que ainda é válido, recomendamos que você carregue um novo certificadoe revogue o antigo.
• Embora não tenhamos indicação no momento de que outras credenciais de autenticação foram acessadas, os clientes podem querer considerar a rotação das credenciais de autenticação usadas nos produtos Zendesk antes de 1º de novembro de 2016. Os tokens da API no Chat não precisam ser alternados.

Meus dados do Zendesk estão seguros?

Embora nenhuma medida de segurança possa ser considerada 100% eficaz, a Zendesk tem investido significativamente em seu programa de segurança desde 2016. Desde então, fizemos investimentos significativos em nossa Programa de segurança, incluindo a implementação de proteção adicional de dados pessoais confidenciais, implementando e alinhando a retenção de registros e dados com o Regulamento Geral de Proteção de Dados (RGPD); implantação da Suposição de Usuário Controlado pelo Cliente (CCUA), que restringe o acesso dos funcionários da Zendesk aos dados de atendimento ao cliente e mais do que duplicando o tamanho de nossa equipe de segurança.

Neste estágio, nossa equipe de segurança e uma equipe forense terceirizada ainda estão concluindo sua investigação e análise aprofundadas desse incidente. Após a conclusão dessa investigação, também tentaremos compartilhar mais informações.

Como funciona a rotação de senha?

Nas próximas 24 horas, a Zendesk começará a alternar as credenciais para os agentes e usuários finais que não mudaram suas credenciais desde 1º de novembro de 2016 e não estão usando o single sign-on.

Essa rotação de senha afetará todos os outros produtos que compartilham autenticação com o Support, incluindo Guide, Talk e Explore. No próximo acesso, cada um desses usuários deverá criar uma nova senha. Recomendamos que os usuários alterem suas senhas antes desse período por conveniência. 

Observe que, se você utilizar a autenticação básica nas APIs do Zendesk ou do Chat por meio de sua senha, precisará restabelecer sua conexão com essas APIs ao alterar sua senha.  Essa rotação de senha não afetará o uso de tokens da API ou OAuth. Você não será afetado por isso se conseguirmos identificar que você atualizou sua senha desde 1º de novembro de 2016 ou se você usa o Single Sign-on.

Minha conta do Zendesk foi criada após 1º de novembro de 2016. Isso significa que não sou afetado?

Correto. Não temos evidências que indiquem que as contas criadas após 1º de novembro de 2016 foram afetadas.

Meus dados de serviço do Zendesk foram comprometidos? 

Não estabelecemos que as IIP ou outros Dados de Serviço de clientes foram acessados além das 10.000 contas que identificamos especificamente. Se determinarmos que sua conta foi afetada, notificaremos você especificamente e estamos compartilhando as etapas que estamos tomando para proteger sua conta e seus dados, além das ações adicionais que você pode realizar.

Quais produtos da Zendesk serão afetados?

Não temos evidências de que outros produtos além do Support e do Chat tenham sido afetados.  Observe que o A rotação de senha que estamos implementando também afetará todos os outros produtos que compartilham autenticação com o Support, incluindo o Guide, Talk e Explore. BIME, Connect, Sell e Smooch não foram afetados e não serão afetados por nossa rotação de senha.

Preciso relatar esse incidente à minha Autoridade Supervisora de Proteção de Dados?

Se determinarmos que seus Dados de Serviço, incluindo quaisquer IIP, foram comprometidos, entraremos em contato especificamente com você sobre essa determinação. Caso contrário, não encontramos evidências de que as IIP ou outros Dados do Serviço tenham sido comprometidos.  

Os clientes da Zendesk são os Controladores de Dados dos Dados de Serviço, e a Zendesk é um Processador de Dados desses Dados de Serviço quando está realizando o Serviço da Zendesk. Isso significa que cabe a cada cliente determinar se é obrigado, de acordo com o Artigo 33 do Regulamento Geral de Proteção de Dados 2016/679 (RGPD), a notificar sua Autoridade Supervisora, dependendo se os limites de risco relevantes foram cumpridos sob o RGPD.  Disponibilizaremos todas as informações que temos para ajudá-lo a tomar essa decisão.

Você pode me dizer o que especificamente foi comprometido/uma lista de dados que foram comprometidos?

Se determinarmos que seus Dados de Serviço, incluindo quaisquer IIP, foram comprometidos, entraremos em contato especificamente com você sobre essa determinação e trabalharemos com você para fornecer mais detalhes.  Se não tivermos comunicado especificamente a você que seus dados de serviço foram comprometidos, não temos evidências de que isso tenha acontecido. 

Onde você publicará atualizações e post mortem?

Continuaremos a publicar atualizações importantes neste artigo da central de ajuda conforme necessário, incluindo uma publicação pública após a conclusão. Quando essa investigação for concluída, tentaremos compartilhar mais informações em nosso site e blog.

Onde posso encontrar mais informações sobre seus programas de segurança?

Os clientes que desejarem obter mais informações ou respostas para perguntas específicas sobre nosso programa de segurança podem consultar a seção Segurança de nosso site em https://www.zendesk.com/product/zendesk-security/.