供应链威胁 | Mailchimp 安全事件对 DigitalOcean 客户的影响
2022-8-16 11:50:42 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

开卷有益 · 不求甚解


目录

  • 发生了什么?
  • 我们学到了什么?

DigitalOcean 客户及其数据的安全是我们尽最大努力承担的责任。当我们客户的安全受到威胁时,我们会迅速做出反应,以透明的方式沟通并承担责任,即使事件的根本原因发生在 DigitalOcean 系统的边界之外。

今天,我们想分享有关 DigitalOcean 和我们的客户如何受到Mailchimp 最近披露的安全事件影响的最新信息。关键要点如下:

  • 8 月 8 日,DigitalOcean 发现我们的 Mailchimp 帐户已被泄露,这是我们怀疑是影响其客户的更广泛 Mailchimp 安全事件的一部分,针对加密和区块链。
  • 从那次 Mailchimp 事件中,我们怀疑某些 DigitalOcean 客户的电子邮件地址可能已经暴露。出于谨慎考虑,我们目前正在向受影响的人发送电子邮件通信。
  • 极少数 DigitalOcean 客户曾尝试通过密码重置来破坏他们的帐户。这些客户的帐户已得到保护,并已直接联系。
  • 自 8 月 9 日起,我们已将电子邮件服务从 Mailchimp 迁移出去。
  • 除了电子邮件地址之外,没有任何客户信息受到威胁,但是,除了在您的 DigitalOcean 帐户上 启用两因素身份验证外,我们建议在接下来的几周内提高对网络钓鱼尝试的警惕。

发生了什么?

2022 年 8 月 8 日美国东部时间下午 3:30,来自我们平台的通过 Mailchimp 发送的交易电子邮件停止到达我们客户的收件箱。这是由工程团队进行的内部测试发现的,该测试旨在监控我们注册过程的健康状况。我们很快发现我们的 Mailchimp 帐户已被暂停,无法访问,Mailchimp 也没有提供其他信息。对于 DigitalOcean 和我们的客户来说,这意味着电子邮件确认、密码重置、基于电子邮件的产品健康警报以及许多其他交易电子邮件无法到达目的地。

我们收到了 Mailchimp 的以下信息:

Mailchimp 向 DigitalOcean 发送电子邮件

在 8 月 8 日的同一时间段内,我们的安全运营团队获悉一名客户声称他们的密码已被重置,而他们并未主动提出。认识到我们的交易电子邮件突然丢失与通过电子邮件传递的潜在恶意密码重置之间可能存在联系,安全事件和调查与解决我们的电子邮件中断问题的团队同时启动。

最初的发现之一是一个非 DigitalOcean 电子邮件地址,该地址出现在 8 月 7 日 Mailchimp 的常规电子邮件中。8 月 6 日,类似 Mailchimp 电子邮件中没有 [@]arxxwalls.com 电子邮件。这使我们坚信我们的 Mailchimp 帐户已被盗用。

8 月 8 日,在我们发现 Mailchimp 帐户存在问题后不久,我们通过传统支持渠道和其他升级方法开始与 Mailchimp 联系。8 月 10 日,我们做出了第一个可行的回应,并与 Mailchimp/Intuit 法律团队进行了对话,以更好地了解该事件及其对我们帐户的影响。Mailchimp 于 8 月 10 日正式通知我们,我们理解为攻击者已入侵 Mailchimp 内部工具,未经授权访问我们和其他帐户。

8 月 8 日对错误密码重置的调查导致我们使用单个 IP 地址对一组有限的 DigitalOcean 帐户启动密码重置。我们的内部日志显示攻击者 IP 地址 x.213.155.164 已成功更改密码,但在以下情况下,由于帐户的第二因素身份验证,无法访问该帐户。攻击者没有尝试完成第二个因素。

通过我们的 API 日志记录来自攻击者 IP 地址的密码重置事件,我们确认了少数 DigitalOcean 帐户是恶意密码重置的目标。尽管并非所有重置都成功。

我们的安全事件响应团队采取措施保护这些帐户,并根据我们关于电子邮件地址暴露的更广泛通知分别与这些客户进行了沟通。我们可以确认对 DigitalOcean 客户帐户密码的攻击在 8 月 7 日之后停止。

在安全事件和调查继续进行的同时,更广泛的电子邮件中断事件管理团队决定立即将关键服务从 Mailchimp 迁移到另一个电子邮件服务提供商。夜以继日地工作后,我们的重要交易电子邮件于 8 月 9 日东部时间晚上 11 点与另一家提供商重新上线。

我们学到了什么?

我们从这次事件中得到了三个关键的启示。

  1. 生态系统很脆弱,信任链一旦破裂,可能会对下游产生重大影响。我们的威胁模型和安全可见性必须在我们的第三方 SaaS 和 PaaS 环境中得到改进。
  2. 我们的业务连续性计划需要更好地考虑第三方的停机时间。作为基础设施提供商,我们在保持基础设施可用方面投入巨资,但可以改进我们依赖第三方的服务损失建模。
  3. 两因素身份验证使少数被攻击者锁定的客户免于完全的帐户泄露。我们将与客户合作以扩大 2fa 的采用。

此外,与此事件相关但不是直接结果,我们正在评估默认情况下所有 DigitalOcean 客户帐户的双因素身份验证。如果您的帐户没有启用 2fa,请立即启用。

译文申明

  • 文章来源为近期阅读文章,质量尚可的,大部分较新,但也可能有老文章。
  • 开卷有益,不求甚解,不需面面俱到,能学到一个小技巧就赚了。
  • 译文仅供参考,具体内容表达以及含义, 以原文为准 (译文来自自动翻译)
  • 如英文不错的,尽量阅读原文。(点击原文跳转)
  • 每日早读基本自动化发布(不定期删除),这是一项测试

最新动态: Follow Me

微信/微博: red4blue

公众号/知乎: blueteams



文章来源: http://mp.weixin.qq.com/s?__biz=MzU0MDcyMTMxOQ==&mid=2247486765&idx=2&sn=a0c367bf5f76e44acb75d18f72d3f2e8&chksm=fb35a4e5cc422df3406cd450a5ff23644a47dca63380b8a31ce5e4129dd6391ddbddae1c0787#rd
如有侵权请联系:admin#unsafe.sh