Eine Datenschutzverletzung wurde in der Cloud-basierten E-Mail-Service berichtet SendGrid. Die Plattform wird verwendet, mehr zu liefern als 18 Milliarden E-Mails auf monatlicher Basis und wird vor allem von Unternehmen genutzt. Eine Sicherheitspause wurde zunächst von der New York Times am April angekündigt 9 als es offensichtlich wurde, dass SendGrid Konten wurden entführt und verwendet, um Phishing-Mails zu verbreiten.
Später, SendGrid stellte klar, dass der Angriff nicht als Plattform Verletzung behandelt werden, sondern nur als ein isoliertes Ereignis.
Isolierte oder nicht, SendGrid hat nun bestätigt, dass Mitarbeiter E-Mail-Konto wird entführt worden und dreimal verwendet, um interne Systeme Zugriff. Die internen Systeme sollen auf beide und Kunden Benutzernamen Mitarbeiter des Unternehmens gespeichert sind, und E-Mail-Anmeldeinformationen. In ihrer Antwort auf den Hack, SendGrid Benutzer werden gebeten, ihre Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu ermöglichen, ihre Konten weiter zu stärken.
Glücklicherweise, Zahlungsinformationen und Bankkontodaten nicht durchgesickert.
Kunden, die Domainkeys Identified Mail verwenden (DKI Tasten) wird empfohlen, neue Schlüssel zu generieren und ihre DNS-Einträge zu aktualisieren, damit die Änderung dokumentiert. Die Zahl dieser Kunden wird geschätzt, bei 600. Sie werden alle E-Mails empfangen mit detaillierten Anweisungen, wie die Aufgabe abzuschließen.
David Campbell, die SendGrid Chief Strategy Officer, hinzugefügt, dass das Unternehmen derzeit eine Reihe von Maßnahmen ergreift die Sicherheit des Systems zu verbessern. Der erste und wichtigste Schritt ist die Information rechtzeitig alle ihre Kunden Passwörter zu ändern und erweitern Zwei-Faktor-Authentifizierung hinzufügen.
2FA wird als eindeutige Identifikation beschrieben, die nur aus der Kombination von zwei verschiedenen Komponenten besteht, den Benutzer bekannt. Die Komponenten können sein:
- Physisches Objekt durch den Benutzer besessen, wie beispielsweise einen USB-Stick mit einem geheimen Token, eine Bankkarte, oder ein Schlüssel.
- Geheime Informationen dem Benutzer bekannt, wie beispielsweise ein Benutzername, Kennwort, oder eine PIN.
- Biometrie, wie beispielsweise ein Fingerabdruck, Augen-Iris, Stimme, etc.