Zapier meldt dat inbreuk op codeopslag klantgegevens in gevaar heeft gebracht
Zapier heeft klanten geïnformeerd over een beveiligingsincident waarbij een "ongeautoriseerde gebruiker" toegang heeft gekregen tot "bepaalde Zapier-codeopslagplaatsen" en mogelijk klantgegevens heeft ingezien. De klantgegevens waren "per ongeluk gekopieerd naar de opslagplaatsen voor debuggingsdoeleinden", aldus een e-mail die The Verge heeft ontvangen.
Het bedrijf werd op de hoogte gebracht van de ongeautoriseerde toegang. Zapier heeft onmiddellijk de toegang tot de opslagplaatsen beveiligd en de toegang van de ongeautoriseerde gebruiker ongeldig gemaakt. Het incident heeft geen invloed gehad op de Zapier-database, infrastructuur, productie, authenticatie- of betalingssystemen.
De codeopslagplaatsen hadden geen klantgegevens mogen bevatten, maar na een audit ontdekte Zapier dat bepaalde informatie per ongeluk was gekopieerd. Het platform van Zapier stelt gebruikers in staat automatiseringen te creëren die werken met apps en diensten van andere bedrijven, waardoor het mogelijk toegang heeft tot veel gevoelige informatie.
2FA
De hacker kon toegang krijgen tot de opslagplaatsen vanwege een "tweefactorauthenticatie (2FA) misconfiguratie op het account van een medewerker". Het bedrijf voert nu een onderzoek uit naar zijn processen om te voorkomen dat dit opnieuw gebeurt.
Zapier heeft via een e-mail, ondertekend door hoofd beveiliging Zeeshan Khadim, klanten geïnformeerd dat een subset van hun gegevens in een opslagplaats was opgenomen en mogelijk is ingezien door de ongeautoriseerde gebruiker. Klanten werden voorzien van een veilige link om hun getroffen gegevens te bekijken en werden geadviseerd passende acties te ondernemen, zoals het roteren van authenticatietokens en het controleren van beveiligingsinstellingen.
Dutch IT events
Alle events
Meer over Security
Over Witold Kepinski
