La compañía francesa de alojamiento web OVH ha sido hackeada. Como resultado del incidente, se recomienda que los clientes cambien sus contraseñas.
La compañía cree que los causantes estaban buscando dos cosas: su base de datos de clientes europeos y su sistema de servidores de instalación en Canadá. La base de datos de clientes europeos contiene nombres de clientes, datos de contacto y contraseñas cifradas. Por suerte, no se almacena ninguna información de tarjetas de crédito. En lo que respecta a las contraseñas, están encriptadas con SHA-512. Sin embargo, como medida de precaución, OVH aconseja a los clientes cambiar sus contraseñas.
OVH ha tomado una serie de medidas para prevenir futuros incidentes, así que restableció las contraseñas de los empleados y configuró una VPN nueva.
Tras el salto podeis visualizar un email enviado por OVH a uno de sus clientes en donde se explican mucho mas detalles al respecto.
Hola,
Hace unos días, nos dimos cuenta de que la seguridad de nuestra red interna en nuestras oficinas en Roubaix había sido comprometida. Después de las investigaciones internas, se consideró que un hacker fue capaz de obtener acceso a una cuenta de correo electrónico de uno de nuestros administradores de sistemas. Con este acceso al correo electrónico, que fue capaz de obtener acceso a la VPN interna de otro empleado. Luego, con este acceso VPN, que fueron capaces de poner en peligro el acceso de uno de los administradores del sistema que maneja el backoffice del interior.
Hasta entonces, la seguridad interna se basa en 2 niveles de verificación:
- Geográfico: requerido para estar en la oficina o utilizar la VPN, es decir: la fuente IP
- Personal: contraseña
Las medidas adoptadas a raíz de este incidente
—————————————
Inmediatamente después de este corte, cambiamos las normas internas de seguridad:
- Las contraseñas de todos los empleados fueron regeneradas para todos los tipos de acceso.
- Hemos creado una nueva VPN en un cuarto seguro PCI-DSS con acceso muy restringido
- Consultar a los correos electrónicos internos ahora sólo es posible desde la oficina / VPN
- Todos los que tienen acceso crítico ahora tienen niveles de verificación 3:
- Fuente de Ip
- Password
USB token de seguridad del personal (YubiKey) -
Resultados
——-
Después de nuestra investigación interna, se supone que el hacker explotó el acceso para lograr dos objetivos:
- Recuperar la base de datos de nuestros clientes en Europa
- Tener acceso al sistema del servidor de instalación en Canadá
La base de datos de clientes en Europa incluye información personal del cliente, tales como: nombre, apellidos, nic, dirección, ciudad, país, teléfono, fax y una contraseña cifrada.
La contraseña de cifrado es “salado” y basado en SHA-512, para evitar ataques de fuerza bruta. Se necesita una gran cantidad de medios técnicos para encontrar la palabra clave con claridad. Pero es posible. Por esta razón le recomendamos que cambie la contraseña de su nombre de usuario. Un correo electrónico será enviado hoy a todos nuestros clientes que explican estas medidas de seguridad e invitándolos a cambiar su contraseña.
No hay información de tarjeta de crédito se almacena en OVH. Información de tarjeta de crédito no se ve o se copia.
En cuanto al sistema de administración de servidor en Canadá, el riesgo que hemos identificado es que si el cliente no se había retirado la llave SSH del servidor, el hacker podría conectarse desde su sistema y recuperar la contraseña almacenada en el archivo. P. La clave SSH no es utilizable desde otro servidor, sólo de nuestro backoffice en Canadá. Por lo tanto, cuando el cliente no ha quitado la llave SSH y no ha cambiado su contraseña de root, de inmediato cambió la contraseña de los servidores de la BHS DC para eliminar un riesgo allí. Un correo electrónico será enviado hoy con la nueva contraseña. La clave SSH se eliminará de forma sistemática al final del proceso de entrega del servidor en Canadá y Europa. Si el cliente necesita OVH para la ayuda, será necesario volver a instalar una nueva clave SSH.
En general, en los próximos meses la oficina de apoyo estará bajo PCI-DSS, que nos permitirá asegurarnos de que el incidente relacionado con un
hackear específica sobre individuos específicos no tendrá ningún impacto en nuestras bases de datos. En resumen, no fuimos lo suficientemente paranoico por lo que ahora estamos cambiando a un mayor nivel de paranoia. El objetivo es garantizar y proteger los datos en el caso de espionaje industrial que dirigirse a las personas que trabajan en OVH.
También presentó una denuncia penal de esto a las autoridades judiciales. A fin de no interrumpir el trabajo de los investigadores, no daremos más detalles antes de las conclusiones finales.