Avis de sécurité

This post is also available in:

Chez SimplyBook.me ltd., (Limassol, Chypre), nous plaçons la sécurité et la confidentialité au cœur de nos priorités. L’année dernière, nous avons été l’une des premières entreprises SaaS à mettre en œuvre tous les contrôles requis par le RGPD dans nos logiciels et à adopter les politiques de ces nouvelles réglementations en matière de confidentialité.

Dans le cadre de nos procédures de sécurité et de confidentialité, nous informons nos utilisateurs des incidents liés à la sécurité qui surviennent dans notre système et qui peuvent potentiellement les affecter. Ce qui suit est un tel incident.

Qu’est-il arrivé:

Notre équipe a été informée par l’un de nos utilisateurs (une société experte en sécurité autorisée à effectuer des analyses de sécurité) d’un problème de sécurité le dimanche 12/05/2019, et il a été résolu le même jour.

Personne, à part le spécialiste de la sécurité, ne nous a contactés à ce sujet et personne n’a affirmé avoir acquis de données personnelles et après notre propre enquête, nous n’avons aucune raison de croire que cette vulnérabilité a été utilisée pour accéder aux données de l’utilisateur. Cependant, puisqu’il était présent dans le système, nous publions cet incident à nos utilisateurs dans ce blog, ainsi qu’une notification dans tous les systèmes d’utilisateurs, ainsi qu’au Commissaire aux données personnelles de notre juridiction.

Quel était le problème:

Un composant de bibliothèque dans un framework que nous utilisons ne fonctionnait pas comme prévu et a provoqué une grave faille de sécurité. Cela n’a affecté qu’une partie de nos serveurs et pas tous.

Ce problème de sécurité concerne les comptes de nos utilisateurs européens et asiatiques (pages de réservation qui se terminent par .asia ou .it) car il existe un mécanisme d’affichage différent sur d’autres serveurs mondiaux, c’est-à-dire les pages .me (USA, CANADA, AUSTRALIE, AMÉRIQUE DU SUD, AFRIQUE, ASIE DU SE) rendant l’exploit invalide.

Conséquences possibles :

Cette vulnérabilité, si elle est utilisée par un pirate malveillant et qualifié, pourrait potentiellement entraîner la divulgation des données de compte de nos utilisateurs (y compris leurs données client), dont les comptes résideraient sur le même serveur que le compte du pirate. Cependant, les détails de la carte de crédit ne sont jamais traités sur notre site Web et ne seraient donc pas affectés par ce problème.

Les données accessibles par un intrus potentiel pourraient inclure :

1) Nom (dans certaines interfaces Prénom et Nom de famille) ; Identifiant unique; Image; OpenID

2) Adresse e-mail ; Numéro de téléphone; Adresse physique

3) Notifications : liées à la réservation (e-mail et SMS) ; Promotionnel (email et SMS); Messages occasionnels (courriels et SMS de rapports); Courriels des utilisateurs du système ; Commentaires; Messages du widget de contact

4) Hachage salé des mots de passe (cryptés)

5) Informations médicales et de santé – Informations SOAP et antécédents médicaux (le nouveau module SOAP est entièrement crypté avec des clés privées et ne serait pas affecté par un tel incident)

6) Historique des paiements ; Prix des services et produits

7) Liste des réservations (avec champs supplémentaires, historique des modifications le cas échéant, statuts des réservations le cas échéant, commentaires le cas échéant) ; Date et heure d’inscription ; journaux ; Adresse IP; Empreintes digitales du navigateur ; Date et heure du dernier accès

8) Données de compte SimplyBook.me Systèmes de paiement avec clés d’utilisateur ; nom d’utilisateur et mot de passe SMTP ; Galerie (logo, arrière-plan, galerie, catalogue, promotions, photos téléchargées) ; calendriers Google / Outlook connectés

Ce qui a été fait par nous :

• Le code a été mis à jour pour éviter les erreurs de bibliothèque de framework et des mesures supplémentaires ont été prises pour limiter davantage le téléchargement et l’exécution des fichiers.
• Le code du serveur a été vérifié pour la cohérence, les signets possibles. Aucun favori n’a été trouvé.
• Tous les mots de passe du serveur ont été modifiés, toutes les clés publiques et privées ont été modifiées.
• Les journaux du serveur Web ont été inspectés, aucune trace d’exécution d’exploit n’a été trouvée.

Ce que tu peux faire:

Vous pouvez envisager, en fonction des politiques de votre entreprise et des réglementations nationales, d’informer vos clients de ce problème de sécurité.

Conclusion:

Ce problème a été résolu et nous continuerons à faire de notre mieux et à travailler avec des spécialistes de la sécurité pour protéger vos données et celles de vos clients à l’avenir et vous tenir pleinement informé de cela et de tout autre incident qui pourrait survenir.

Je suis sincèrement désolé que nous n’ayons pas remarqué ce problème en interne et qu’il nous ait été signalé par un expert en sécurité externe au lieu que nous le trouvions au préalable. Nous reverrons nos procédures et processus de sécurité à l’avenir pour renforcer davantage notre sécurité.

Rut Steinsen – PDG