Sikkerhedsnotifikation

This post is also available in:

Hos SimplyBook.me Ltd. (Limassol, Cypern) er sikkerhed og privatlivets fred vores højeste prioritet. Sidste år var vi en af de første SaaS-virksomheder, der implementerede alle de kontroller, som GDPR kræver, i vores software, og vi har taget de nye regler for beskyttelse af personlige oplysninger til os.

Som en del af vores sikkerheds- og privatlivsprocedurer informerer vi vores brugere om sikkerhedsrelaterede hændelser, der opstår i vores system, og som potentielt kan påvirke dem. Følgende er en sådan hændelse.

Hvad skete der?

Vores team blev informeret af en af vores brugere (et sikkerhedsekspertfirma med tilladelse til at udføre sikkerhedsscanninger) om et sikkerhedsproblem søndag den 12. maj 2019, og det blev løst samme dag.

Ingen ud over sikkerhedsspecialisten har kontaktet os om dette problem, og ingen har hævdet at have fået fat i personoplysninger, og efter vores egen undersøgelse har vi ikke grund til at tro, at denne sårbarhed blev brugt til at få adgang til brugernes data. Men da den var til stede i systemet, offentliggør vi denne hændelse til vores brugere i denne blog, samt en meddelelse i alle brugersystemer og også til kommissæren for personoplysninger i vores jurisdiktion.

Hvad var problemet?

En bibliotekskomponent i et framework, vi bruger, fungerede ikke som forventet og forårsagede et alvorligt sikkerhedshul. Det påvirkede kun en del af vores servere og ikke dem alle.

Dette sikkerhedsproblem involverer vores europæiske og asiatiske brugeres konti (bookingsider, der slutter med .asia eller .it), da der er en anden visningsmekanisme på andre verdensservere, dvs. .me-siderne (USA, CANADA, AUSTRALIEN, SYDAMERIKA, AFRIKA, SØ-ASIEN), hvilket gør udnyttelsen ugyldig.

Mulige konsekvenser:

Denne sårbarhed kan, hvis den bruges af en ondsindet og dygtig hacker, potentielt forårsage offentliggørelse af kontodata for vores brugere (herunder deres kundedata), hvis konti ligger på den samme server som hackerens konto. Kreditkortoplysninger behandles dog aldrig på vores hjemmeside og vil derfor ikke blive påvirket af dette problem.

De data, der er tilgængelige for en potentiel indtrænger, kan omfatte:

1) Navn (i nogle grænseflader fornavn og efternavn); unik identifikator; billede; OpenID

2) E-mail-adresse; telefonnummer; fysisk adresse

3) Meddelelser: Bookingrelaterede (e-mail og SMS); Salgsfremmende (e-mail og SMS); Lejlighedsvise beskeder (e-mails og SMS fra rapporter); Systembruger-e-mails; Anmeldelser; Kontakt-widget-beskeder

4) Salted hash af adgangskoder (krypteret)

5) Medicinske og sundhedsmæssige oplysninger – SOAP-information og medicinsk historie (Det nye SOAP-modul er fuldt krypteret med private nøgler og vil ikke blive påvirket af en sådan hændelse).

6) Betalingshistorik; Pris på tjenester og produkter

7) Liste over bookinger (med yderligere felter, historik over eventuelle ændringer, eventuelle bookingstatusser, eventuelle kommentarer); Registreringsdato og -tidspunkt; Logs; IP-adresse; Browser-fingeraftryk; Dato og tidspunkt for sidste adgang

8) SimplyBook.me-kontodata Betalingssystemer med brugernøgler; SMTP-brugernavn og -adgangskode; Galleri (logo, baggrund, galleri, katalog, kampagner, uploadede fotos); tilsluttede Google/Outlook-kalendere

Hvad der blev gjort af os:

• Koden blev opdateret for at forhindre fejl i rammebiblioteket, og der blev truffet yderligere foranstaltninger for at begrænse upload og udførelse af filer.
• Serverens kode blev tjekket for konsistens og mulige bogmærker. Der blev ikke fundet nogen bogmærker.
• Alle serverpasswords blev ændret, alle offentlige og private nøgler blev ændret.
• Webserverlogs blev inspiceret, og der blev ikke fundet spor af udførelse af exploit.

Hvad du kan gøre:

Afhængigt af din virksomheds politik og landets regler kan du overveje, om du skal informere dine kunder om dette sikkerhedsproblem.

Konklusion:

Dette problem er blevet løst, og vi vil fortsat gøre vores bedste og samarbejde med sikkerhedsspecialister for at beskytte dine og dine kunders data i fremtiden og holde dig fuldt informeret om dette og eventuelle andre hændelser, der måtte opstå.

Jeg er oprigtigt ked af, at vi ikke opdagede dette problem internt, og at det blev påpeget af en ekstern sikkerhedsekspert i stedet for, at vi opdagede det på forhånd. Vi vil gennemgå vores sikkerhedsprocedurer og -processer fremover for at skærpe vores sikkerhed yderligere.

Rut Steinsen – administrerende direktør