Aprendiendo sobre Respuesta a Incidentes - Caso Datadog
La semana pasada, el servicio de monitoreo tipo saas Datadog, padeció una brecha de Seguridad, y me pareció interesante compartir el manejo de información con sus clientes que realizaron desde el minuto 0, con el objetivo de contener el ataque.
Estas estrategias de comunicación en Respuesta a Incidentes y sobre todo de transparencia, son las que permiten a fin de cuentas, contener un ataque al máximo posible cuando sucede. Es uno de los procesos que las organizaciones tienen generalmente más descuidados, asumiendo que toda la inversión debe aplicarse en el antes. Sin embargo, el durante y el después en un ataque, son igual de importantes, y el caso Target es un claro ejemplo.
-
Primer Comunicación directa con el Cliente - Mail.
Se blanquea la situación, y se asume lo peor pidiendo el cambio de contraseñas, aún sin tener suficiente información de que es lo que sucedió y que información se pueden haber llevado. Esta notificación, se envió a todos los cliente por igual, tengan los servicios que tengan.
Es importante notar, que no sólo se está solicitando el cambio de contraseña, se resetearon sin interacción del usuario todas las cuentas como medida de contención, sin dejarle opción al usuario.Password reset notification
Hi,
We are currently investigating an incident involving potential unauthorized access today to some of our systems. As a precaution, we have reset your Datadog password. You can create a new password using the forgotten password link (https://app.datadoghq.com/account/forgot_password).
Although passwords are stored using bcrypt with a unique salt, to err on the side of caution, if you have used your Datadog password for any other site, we recommend resetting the password for those sites as well.
We apologize for the disruption and the extra work this requires from you. We take your security extremely seriously and will do our best to assist you through this process at support@datadoghq.com.
Andrew Becherer
Chief Security Officer, Datadog -
Segunda comunicación, también por correo. Al parecer Datadog ya tiene más información de lo ocurrido, y está enviando mails a clientes con pasos a seguir, según los servicios específicos que se tengan implemetandos.
Hi, you are receiving this email as an administrator of your Datadog account.
We are currently investigating an incident involving potential unauthorized access today to some of our systems. As a precaution, we recommend that you take the following actions:
-
Reset your Datadog password: All users will receive separate instructions to that end. Google Auth and SAML users won't need to change their password. (Note that passwords are stored using bcrypt with a unique salt)
-
Reset your Datadog App Keys: These are the keys allowing access to Datadog APIs. You can find-out more about the reset process in this KB article https://help.datadoghq.com/hc/en-us/articles/210270566
-
Reset the AWS keys used for Datadog: We noticed that your AWS integration https://app.datadoghq.com/account/settings#integrations/amazon_web_services is using API keys. We recommend that you revoke these API keys in AWS http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html and enable role delegation instead, as indicated in this guide http://docs.datadoghq.com/integrations/aws/#installation.
We apologize for the disruption and the extra work this requires from you as we choose to err on the side of caution.
We take your security extremely seriously and will do our best to assist you through this process at support@datadoghq.com .
Andrew Becherer
Chief Security Officer, Datadog -
-
Tercer comunicación, vía email, dando seguimineto a la anterior y las acciones solicitadas, y enfatizando en las acciones importantes a realizar:
Hi, you are receiving this email because your are an administrator of your Datadog account. This is a follow-up to our prior security incident communication.
If you haven’t already done so, we continue to strongly recommend that you revoke your API keys in AWS and enable IAM Role Delegation instead. We are reiterating this recommendation in an abundance of caution should any of the AWS credentials you use in Datadog have been compromised.
In light of feedback we’ve received from some users, we want to emphasize that simply removing credentials from Datadog isn’t sufficient. You need to revoke the API keys in AWS.
Please note that we are sending this notification to the broadest set of AWS-enabled Datadog users in an effort to capture all potentially affected users. No action is required with regard to this email if you’ve already revoked your AWS API keys or are already using role delegation.
You can learn more on revoking API keys in AWS on the AWS article below
http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.htmlAnd here is a guide to enabling role delegation in Datadog
http://docs.datadoghq.com/integrations/aws/#installationFinally, here’s a public notice we posted about this incident
https://www.datadoghq.com/blog/2016-07-08-security-notice/Again, we apologize for the inconvenience and the extra work this represents, and will do our best to assist you in any way we can at support@datadoghq.com
Best,
Andrew Becherer
Chief Security Officer, Datadog -
Publicación y Comunicación oficial en Internet en general (no sólo clientes), a través de su blog:
https://www.datadoghq.com/blog/2016-07-08-security-notice/
En el mismo se aclaran dudas y se brinda información sobre que se afectó, y que no.
Aseguran que se aseguró y corrigió los puntos vulnerables en su infraestructura.
Por otro lado, también dejan claro que se va a seguir trabajando en un forense esta semana, y se enviará mayor información cuando se disponga.
Un buen caso de análisis a mi entender.
Seguramente si el leak incluyó realmente los usuarios y contraseñas, las veremos pronto disponibles en la red, y se sumarán a los leaks masivos que tuvimos últimamente, pero en este caso, podemos estar seguros que se tomaron las posibles medidas de contención en la infraestructura y de notificación a los usuarios previo a que suceda.
Saludos!