关于 2016 年安全事件的已更新常见问题

涉及帐户在 2016 年 11 月 1 日之前激活的 Zendesk 客户

发生了什么情况？

我们最近收到第三方关于安全问题的警报，该问题可能影响到 2016 年 11 月之前激活的 Zendesk Support 和 Chat 产品以及这些产品的客户帐户。在我们了解此信息后，Zendesk 安全团队和我们的外部取证专家已对此事件进行全面调查。虽然我们的调查仍在进行中，但我们在 2019 年 9 月 24 日确定，属于一小部分客户的信息在 2016 年 11 月之前被访问了。

我们已识别出大约 15,000 个 Zendesk Support 和 Chat 帐户，包括过期的试用帐户和不再活跃的帐户，其帐户信息在 2016 年 11 月之前在未经授权的情况下被访问。被访问的信息包括一些个人身份信息（PII）和其他服务数据。我们没有发现任何证据表明工单数据曾被访问与此事务相关。

这些数据库被暴露的信息包括以下数据，可能截至 2016 年 11 月 1 日：

• 某些 Zendesk 产品的专员和终端用户的电邮地址、用户名和电话号码。
• 专员和终端用户密码的截止日期可能为 2016 年 11 月。  我们没有发现任何证据表明这些密码用于访问任何与此事件相关的 Zendesk 服务。

更新：  我们还确定大约 7,000 个客户帐户的某些身份验证信息被访问， 包括过期的试用帐户和不再活跃的帐户更新。  经过进一步分析，我们还发现了一个错误，并确定了一组客户访问了少量 TLS 证书，而这些证书几乎目前都已过期。 

以下是受影响的信息：

• 客户向 Zendesk 提供传输层安全（TLS）加密密钥
• 从 Zendesk 应用市场或个人应用安装的应用的配置设置。这可能包括这些应用用于对第三方服务进行身份验证的整合密钥。

对此事件的发生，我们深表歉意。保障客户及其数据的安全对我们而言至关重要更新。  我们的目标是尽快传达此信息，并保持透明度，并指导如何填写地址。我们将在 中更新并分享更多信息。 博客文章 （如有）。

已采取哪些措施进行补救？

现阶段，我们的安全团队和第三方取证团队仍在完成深入调查和分析。根据我们迄今为止所掌握的信息，我们还采取了以下行动：

• 委派外部取证专家团队来验证此安全事项，并确定被泄露的确切数据和信息。
• 激活我们的内部数据安全响应团队和协议。此团队将动用全部资源继续调查，以确定此暴露是如何发生的。
• 通知执法部门和全球相关监管机构。
• 直接通知所有受影响的客户，告知我们为保护其帐户和数据安全而采取的步骤，以及他们可自行进行的其他操作。
• 作为预防措施，我们对 2016 年 11 月 1 日之前创建的某些终端用户和专员实施密码轮换。 
• 接下来的 24 小时内，Zendesk 将为 Support 和 Chat 中所有活跃的专员，以及 2016 年 11 月 1 日之前创建的 Support 中所有终端用户实施密码轮换。为了方便起见，我们建议用户提前更改密码。  此次密码轮换将影响与 Support 共享身份验证的所有其他产品，包括 Guide、Talk 和 Explore。 
• 在下次登录时，这些用户将被要求创建一个新密码。请注意，如果您通过密码使用 Zendesk 或 Chat API 的基本身份验证，更改密码后您将需要重新建立与这些 API 的连接。  此次密码轮换不会影响 API 或 OAuth 密钥的使用。
• 如果我们能够识别您自 2016 年 11 月 1 日起已更新密码，或者您使用单点登录，则不会受此影响。

我该怎么办？

如果您收到我们发送的电邮，说明您已在 2016 年 11 月 1 日之前注册帐户，我们建议您执行以下步骤：

• 如果您在 2016 年 11 月 1 日之前安装了 Zendesk 市场或个人应用，并在安装过程中保存了 API 密钥或密码等身份验证凭证，我们建议您轮换相应应用的所有凭证。您可以使用/v2/apps/installations.json API 端点提取应用安装列表及其相应的安装日期 。
• 此外，如果您在 2016 年 11 月 1 日之前上传了 2016 年 11 月 1 日仍然有效的 TLS 证书，我们建议您 上传一个新的证书，并撤销旧的证书。
• 虽然我们目前没有迹象表明有人访问了其它身份验证凭证，但客户不妨考虑轮换用于 2016 年 11 月 1 日之前 Zendesk 产品中的身份验证凭证。Chat 中的 API 密钥无需轮换。

我的 Zendesk 数据安全吗？

虽然没有任何安全措施是 100% 有效的，但自 2016 年以来，Zendesk 在安全计划方面进行了大量投资。自此，我们在以下方面进行了大量投资： 安全计划，包括通过实施《通用数据保护条例》(GDPR)并使日志和数据保留符合《通用数据保护条例》的要求，从而提供额外的敏感个人数据 保护；部署 客户控制用户身份 (CCUA)，这限制了 Zendesk 员工对客户服务数据的访问，并使我们的安全团队规模扩大了一倍多。

现阶段，我们的安全团队和第三方取证团队仍在就此事件进行深入调查和分析。待调查完成后，我们也将分享更多信息。

密码轮换如何进行？

在接下来的 24 小时内，Zendesk 将开始为自 2016 年 11 月 1 日以来未轮换凭证且未使用单点登录的专员和终端用户轮换凭证。

此次密码轮换将影响与 Support 共享身份验证的所有其他产品，包括 Guide、Talk 和 Explore。在下次登录时，这些用户将被要求创建一个新密码。为方便起见，我们建议用户提前更改密码。 

请注意，如果您通过密码使用 Zendesk 或 Chat API 的基本身份验证，更改密码后将需要重新建立与这些 API 的连接。  此次密码轮换不会影响 API 或 OAuth 密钥的使用。如果我们能够识别您已自 2016 年 11 月 1 日起更新密码，或者您使用单点登录，则不会受此影响。

我的 Zendesk 帐户是在 2016 年 11 月 1 日之后创建的。这是否意味着我不受影响？

正确。没有证据表明 2016 年 11 月 1 日之后创建的帐户受到了影响。

我的 Zendesk 服务数据是否已被盗用？ 

除我们已明确识别的那 10,000 个帐户之外，我们尚未确认客户的 PII 或其他服务数据是否被访问。如果我们确定您的帐户受到影响，我们已专门通知您，并分享我们为保护您的帐户和数据安全采取的步骤，以及您可以采取的其他措施。

哪些 Zendesk 产品会受到影响？

没有证据表明 Support 和 Chat 以外的产品受到了影响。  请注意 我们正在实施的密码轮换还将影响与 Support 共享身份验证的所有其他产品，包括 Guide、Talk 和 Explore。BIME、Connect、Sell 和 Smooch 过去和现在都没有受到我们密码轮换的影响。

我是否需要向数据保护监管机构报告此事务？

如果我们确定您的服务数据（包括任何 PII）已被盗用，我们已就此决定与您明确沟通。除此之外，我们没有发现任何证据表明 PII 或其他服务数据已被盗用。  

Zendesk 的客户是服务数据的控制者，而在执行 Zendesk 服务时，Zendesk 则是该服务数据的数据处理者。换言之，应由每个客户自行决定是否按照《通用数据保护条例》2016/679 (GDPR) 第 33 条的规定通知其监管机构，具体取决于是否达到 GDPR 规定的相关风险阈值。  我们将提供所有掌握的信息，帮助您做出决定。

能否具体说明哪些内容被盗用/被盗用的数据列表？

如果我们确定您的服务数据（包括任何 PII）已被盗用，我们已就此确定结果专门与您沟通，并将与您合作提供更多详情。  如果我们未明确告知您服务数据已被盗用，我们没有任何证据表明您的服务数据已被盗用。 

您将在哪里发布更新和事后分析？

我们将根据需要继续发布此帮助中心文章的重要更新，包括完成后的公开事后分析。调查完成后，我们将通过网站和博客分享更多信息。

在哪里可以找到关于安全计划的更多信息？

想要获得更多信息或关于我们安全计划特定问题的答案，请查看我们网站“安全”部分： https://www.zendesk.com/product/zendesk-security/。