Unsere Kunden und unsere Community sind uns sehr wichtig. Um die Transparenz zu wahren, die für die Erhaltung Ihres Vertrauens unerlässlich ist, möchten wir Sie über ein aktuelles Ereignis informieren.

Am 9. Juli entdeckte PagerDuty einen unbefugten Einbruch durch einen Angreifer, der Zugriff auf einige Informationen über unsere Kunden erlangte. Innerhalb weniger Stunden nach dem Einbruch konnte unser Team den Angriff stoppen und wir ergriffen sofort Maßnahmen, um das Problem einzudämmen, darunter die Verbesserung unserer Überwachungs- und Erkennungsfunktionen und die weitere Absicherung unserer Umgebung.

Wir haben keine Beweise dafür gefunden, dass durch diesen Vorfall Unternehmens-, technische, finanzielle oder vertrauliche Endbenutzerinformationen, einschließlich Telefonnummern, offengelegt wurden. Wie Sie wissen, erfassen wir keine Sozialversicherungsnummern von Kunden und speichern oder haben keinen Zugriff auf Kreditkartennummern von Kunden. Dieser Vorfall hatte auch keine Auswirkungen auf unsere Fähigkeit, unseren Kunden Dienstleistungen anzubieten.

Wir haben ein führendes Unternehmen für Cybersicherheitsforensik beauftragt, den Angriff zu untersuchen und zu bestätigen, dass die Maßnahmen, die wir zur Behebung dieses Problems ergriffen haben – und unsere Sicherheitspraktiken im Allgemeinen – den hohen Standards entsprechen, die wir an uns selbst stellen. Wir haben auch die Strafverfolgungsbehörden benachrichtigt und kooperieren uneingeschränkt bei ihren Ermittlungen in dieser Angelegenheit.

Der Untersuchung zufolge umging der Angreifer mehrere Authentifizierungsebenen und verschaffte sich unbefugten Zugriff auf ein Verwaltungspanel, das von einem unserer Infrastrukturanbieter bereitgestellt wurde. Mit diesem Zugriff konnten sie sich bei einer Replik einer der Datenbanken von PagerDuty anmelden. Die Beweise deuten darauf hin, dass der Angreifer Zugriff auf Benutzernamen, E-Mail-Adressen, gehashte Passwörter und URLs öffentlicher Kalender-Feeds erlangte.

Passwörter sind gehasht ¹ mit Salz und Pfeffer, und wir haben keine Beweise dafür, dass der Angreifer auf den Pfeffer zugreifen konnte, was es rechnerisch unmöglich macht, dass die gehashten Passwörter vom Angreifer in irgendeiner Weise verwendet werden können. Die Kalender-Feed-URLs bieten Benutzern einen schreibgeschützten Kalender mit ihren Bereitschaftszeiten.

Obwohl wir von der Stärke der Sicherheitsmaßnahmen zum Schutz der Benutzerkennwörter überzeugt sind, bitten wir unsere Benutzer vorsichtshalber, zum jetzigen Zeitpunkt neue sichere Kennwörter festzulegen. Benutzer, die ihr Kennwort nicht bis Montag, den 3. August, um 12:00 Uhr Pacific Time zurücksetzen, werden automatisch von der Website abgemeldet und erhalten eine E-Mail mit der Aufforderung, ihr Kennwort zurückzusetzen. Die Zustellung von Benachrichtigungen wird durch diesen Vorgang zu keinem Zeitpunkt beeinträchtigt.

Wir empfehlen unseren Kunden außerdem, Kalender-Feed-URLs zurücksetzen Und Zugriff widerrufen und erneut hinzufügen auf alle Mobilgeräte, die mit ihrem PagerDuty Konto verknüpft sind.

Wir sind uns bewusst, dass ein Angreifer die bei diesem Vorfall offengelegten Namen und E-Mail-Adressen verwenden könnte, um Kunden mit Phishing-Angriffen anzugreifen. Wir fordern Sie daher dringend auf, beim Schutz Ihrer Identität im Internet wachsam zu sein. PagerDuty wird Sie niemals per E-Mail nach Ihrem Passwort oder anderen vertraulichen Informationen fragen.

Ich war persönlich an jedem einzelnen Schritt unserer Reaktion beteiligt. Wir schätzen Ihr Vertrauen in unser Unternehmen und bemühen uns, die hohen Standards zu erfüllen, die wir uns selbst gesetzt haben. Ich nutze diese Veranstaltung als Gelegenheit, unsere Sicherheit zu überprüfen und zu verbessern, und bleibe starken internen Sicherheitspraktiken und -prozessen verpflichtet.

Wir entschuldigen uns für diesen Vorfall. Wenn Sie Fragen haben, können Sie uns direkt kontaktieren unter support@pagerduty.com .

  1. Wir verwenden robuste Hashing-Techniken, um Passwörter zu schützen. Wenn Sie sich seit dem 1. Januar 2015 in Ihr Konto eingeloggt haben, wird Ihr Passwort mit Bcrypt mit einem Arbeitsfaktor von 10 gehasht, wobei ein pro Benutzer zufällig generierter Salz und eine Site-weite Pfeffer . Ältere Passwörter werden mit SHA-1 über mehrere Runden hinweg gehasht und verwenden denselben Salt-and-Pepper-Ansatz. Wir haben keine Beweise dafür, dass der Angreifer auf den Pepper zugreifen konnte. Sowohl unsere Salts als auch Pepper sind 40 Zeichen lang und werden zufällig generiert.