Plataforma E-mail SendGrid comprometida por Phishing, 2FA Needed

Plataforma E-mail SendGrid comprometida por Phishing, 2FA Needed

A violação de dados foi relatado no serviço de e-mail baseada em nuvem SendGrid. A plataforma é usada para fornecer mais de 18 bilhão de e-mails em uma base mensal e é usado principalmente por empresas. Uma quebra de segurança foi inicialmente anunciado pelo New York Times em abril de 9 quando se tornou evidente que as contas SendGrid foram seqüestrados e empregados para espalhar e-mails de phishing.

Mais tarde, SendGrid clarificado que o ataque não estava a ser tratada como uma violação plataforma, mas apenas como um evento isolado.

Isolado ou não, SendGrid já confirmou que uma conta de e-mail funcionário foi sequestrado e utilizado três vezes para acessar sistemas internos. Os sistemas internos são disse ter armazenado usernames ambos os empregados e dos clientes da empresa e credenciais de e-mail. Em resposta ao corte, usuários SendGrid são aconselhados a alterar suas senhas e habilitar a autenticação de dois fatores para reforçar ainda mais as suas contas.

Felizmente, informações de pagamento e contas bancárias detalhes não foram divulgados.

Os clientes que utilizam DomainKeys Identified Mail (chaves Dki) são aconselhados a gerar novas chaves e atualizar seus registros de DNS para que a alteração está documentada. O número de tais clientes é estimado em 600. Todos eles vão receber e-mails com instruções detalhadas sobre como concluir a tarefa.

David Campbell, o Chief Strategy Officer SendGrid, acrescentou que a empresa está actualmente a tomar uma série de medidas para melhorar a segurança do sistema. O primeiro e mais importante passo é oportuno informar todos os seus clientes para alterar senhas e adicionar autenticação de dois fatores melhorada.

2FA é descrito como uma identificação inequívoca que consiste na combinação de dois componentes diferentes conhecidos apenas para o utilizador. Os componentes podem ser:

  • objecto físico possuída pelo utilizador, tal como um stick USB com um token secreto, um cartão de banco, ou uma chave.
  • informação secreta conhecida para o usuário, tal como um nome de utilizador, senha, ou um PIN.
  • Biometrics, tal como uma impressão digital, íris do olho, voz, etc.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios são marcados *

Time limit is exhausted. Please reload the CAPTCHA.