Notificación de seguridad

This post is also available in:

En SimplyBook.me ltd., (Limassol, Chipre) ponemos la seguridad y la privacidad como nuestra máxima prioridad. El año pasado fuimos una de las primeras empresas de SaaS en implementar todos los controles requeridos por GDPR en nuestro software y adoptamos las políticas de estas nuevas regulaciones de privacidad.

Como parte de nuestros procedimientos de seguridad y privacidad, informamos a nuestros usuarios de los incidentes relacionados con la seguridad que surgen en nuestro sistema y que potencialmente pueden afectarlos. El siguiente es un incidente de este tipo.

Qué pasó:

Nuestro equipo fue informado por uno de nuestros usuarios (una empresa experta en seguridad con permiso para realizar análisis de seguridad) sobre un problema de seguridad el domingo 12/05/2019, y se solucionó el mismo día.

Nadie, además del especialista en seguridad, se ha puesto en contacto con nosotros sobre este problema ni nadie ha sostenido que haya adquirido ningún dato personal y, después de nuestra propia investigación, no tenemos motivos para creer que esta vulnerabilidad se utilizó para obtener acceso a los datos del usuario. Sin embargo, dado que estaba presente en el sistema, publicamos este incidente a nuestros usuarios en este blog, así como una notificación en todos los sistemas de los usuarios, y también al Comisionado de Datos Personales en nuestra jurisdicción.

Cual fue el problema:

Un componente de la biblioteca en un marco que usamos no funcionaba como se esperaba y provocó un grave problema de seguridad. Solo afectó a una parte de nuestros servidores y no a todos.

Este problema de seguridad involucra las cuentas de nuestros usuarios europeos y asiáticos (páginas de reserva que terminan en .asia o .it) ya que existe un mecanismo de visualización diferente en otros servidores del mundo, es decir, las páginas .me (EE. UU., CANADÁ, AUSTRALIA, SUDAMÉRICA, ÁFRICA, SURESTE DE ASIA) invalidando el exploit.

Posibles consecuencias:

Esta vulnerabilidad, si la utiliza un pirata informático malintencionado y experto, podría provocar la divulgación de datos de cuenta de nuestros usuarios (incluidos los datos de sus clientes), cuyas cuentas residirían en el mismo servidor que la cuenta del pirata informático. Sin embargo, los detalles de la tarjeta de crédito nunca se procesan en nuestro sitio web y, por lo tanto, no se verán afectados por este problema.

Los datos accesibles por un posible intruso podrían incluir:

1) Nombre (en algunas interfaces Nombre y Apellido); Identificador único; Imagen; Open ID

2) Dirección de correo electrónico; Número de teléfono; Dirección física

3) Notificaciones: relacionadas con la reserva (correo electrónico y SMS); Promocional (correo electrónico y SMS); Mensajes ocasionales (correos electrónicos y SMS de informes); correos electrónicos de los usuarios del sistema; Reseñas; Mensajes del widget de contacto

4) Hash salado de contraseñas (cifrado)

5) Información médica y de salud: información SOAP e historial médico (El nuevo módulo SOAP está completamente encriptado con claves privadas y no se vería afectado por dicho incidente)

6) historial de pagos; precio de servicios y productos

7) Lista de reservas (con campos adicionales, historial de cambios, si los hubiera, estados de las reservas, si los hubiera, comentarios, si los hubiera); Hora de la fecha de registro; troncos; Dirección IP; Huellas dactilares del navegador; Fecha y hora del último acceso

8) Datos de la cuenta de SimplyBook.me Sistemas de pago con claves de usuario; Nombre de usuario y contraseña de SMTP; Galería (logotipo, fondo, galería, catálogo, promociones, fotos subidas); calendarios de Google / Outlook conectados

Lo que hicimos nosotros:

• El código se actualizó para evitar errores en la biblioteca del marco y se tomaron medidas adicionales para limitar aún más la carga y ejecución de archivos.
• Se verificó la consistencia del código del servidor, posibles marcadores. No se encontraron marcadores.
• Se cambiaron todas las contraseñas del servidor, se cambiaron todas las claves públicas y privadas.
• Se inspeccionaron los registros del servidor web, no se encontraron rastros de ejecución de explotación.

Lo que puedes hacer:

Puede considerar, dependiendo de las políticas de su empresa y las regulaciones del país, informar a sus clientes sobre este problema de seguridad.

Conclusión:

Este problema se solucionó y continuaremos haciendo nuestro mejor esfuerzo y trabajando con especialistas en seguridad para proteger sus datos y los de sus clientes en el futuro y mantenerlo completamente informado sobre este y cualquier otro incidente que pueda surgir.

Lamento sinceramente que no hayamos notado este problema internamente y que nos lo haya señalado un experto en seguridad externo en lugar de que lo encontráramos de antemano. Revisaremos nuestros procedimientos y procesos de seguridad en el futuro para fortalecer aún más nuestra seguridad.

Rut Steinsen – CEO