Notificação de segurança

This post is also available in:

Nós da SimplyBook.me ltd., (Limassol, Chipre) colocamos a segurança e a privacidade como nossa principal prioridade. No ano passado, fomos uma das primeiras empresas de SaaS a implementar todos os controles exigidos pelo GDPR em nosso software e adotamos as políticas desses novos regulamentos de privacidade.

Como parte de nossos procedimentos de segurança e privacidade, informamos nossos usuários sobre incidentes relacionados à segurança que surgem em nosso sistema e podem afetá-los. O seguinte é um tal incidente.

O que aconteceu:

Nossa equipe foi informada por um de nossos usuários (uma empresa especialista em segurança com permissão para realizar verificações de segurança) sobre um problema de segurança no domingo, 2019/05/12, e foi corrigido no mesmo dia.

Ninguém, além do especialista em segurança, entrou em contato conosco sobre esse problema nem sustentou ter adquirido quaisquer dados pessoais e, após nossa própria investigação, não temos motivos para acreditar que essa vulnerabilidade foi usada para obter acesso aos dados do usuário. No entanto, uma vez que estava presente no sistema, estamos publicando este incidente para nossos usuários neste blog, bem como uma notificação em todos os sistemas de usuários, e também para o Comissário de Dados Pessoais em nossa jurisdição.

Qual era o problema:

Um componente de biblioteca em uma estrutura que usamos não estava funcionando conforme o esperado e causou uma séria falha de segurança. Isso afetou apenas parte de nossos servidores e não todos eles.

Este problema de segurança envolve as contas de nossos usuários europeus e asiáticos (páginas de reserva que terminam com .asia ou .it), pois há um mecanismo de exibição diferente em outros servidores mundiais, ou seja, as páginas .me (EUA, CANADÁ, AUSTRÁLIA, AMÉRICA DO SUL, ÁFRICA, SE ASIA) tornando a exploração inválida.

Possíveis consequências:

Essa vulnerabilidade, se usada por um hacker mal-intencionado e habilidoso, pode causar a divulgação de dados de contas de nossos usuários (incluindo dados de clientes), cujas contas residiriam no mesmo servidor que a conta do hacker. No entanto, os detalhes do cartão de crédito nunca são processados em nosso site e, portanto, não seriam afetados por esse problema.

Os dados acessíveis por um potencial intruso podem incluir:

1) Nome (em algumas interfaces Nome e Sobrenome); Identificador único; Foto; OpenID

2) Endereço de e-mail; Número de telefone; Endereço físico

3) Notificações: Relacionadas à reserva (e-mail e SMS); Promocional (e-mail e SMS); Mensagens ocasionais (e-mails e SMS de relatórios); E-mails do usuário do sistema; Avaliações; Mensagens do widget de contato

4) Hash salgado de senhas (criptografado)

5) Informações Médicas e de Saúde – Informações SOAP e histórico médico (O novo módulo SOAP é totalmente criptografado com chaves privadas e não seria afetado por tal incidente)

6) Histórico de pagamentos; Preço dos serviços e produtos

7) Lista de reservas (com campos adicionais, histórico de alterações se houver, status de reserva se houver, comentários se houver); Horário da data de inscrição; Histórico; Endereço de IP; Impressões digitais do navegador; Data e hora do último acesso

8) Dados da conta SimplyBook.me Sistemas de pagamento com chaves de usuário; Nome de usuário e senha SMTP; Galeria (logotipo, fundo, galeria, catálogo, promoções, fotos carregadas); calendários Google / Outlook conectados

O que foi feito por nós:

• O código foi atualizado para evitar erros de biblioteca de estrutura e medidas adicionais foram tomadas para limitar ainda mais o upload e a execução de arquivos.
• O código do servidor foi verificado quanto à consistência, possíveis marcadores. Nenhum marcador foi encontrado.
• Todas as senhas do servidor foram alteradas, todas as chaves públicas e privadas foram alteradas.
• Os logs do servidor Web foram inspecionados, nenhum vestígio de execução de exploração foi encontrado.

O que você pode fazer:

Você pode considerar, dependendo das políticas da sua empresa e dos regulamentos do país, informar seus clientes sobre esse problema de segurança.

Conclusão:

Este problema foi corrigido e continuaremos a fazer o nosso melhor e a trabalhar com especialistas em segurança para proteger os seus dados e os dos seus clientes no futuro e mantê-lo totalmente informado sobre este e quaisquer outros incidentes que possam surgir.

Lamento sinceramente que não tenhamos notado esse problema internamente e que ele tenha sido apontado para nós por um especialista em segurança externo, em vez de encontrá-lo com antecedência. Analisaremos nossos procedimentos e processos de segurança daqui para frente para fortalecer ainda mais nossa segurança.

Rut Steinsen – CEO