OVH Community, your new community space.

Sicurezza del nostro backoffice


pftech
04.05.2013, 08.05
Grazie!

azrael666x
02.05.2013, 15.26
Tradotto

pftech
02.05.2013, 00.06
Please someone can translate it in Italian or English?

oles@ovh.net
30.04.2013, 16.30
Buongiorno,
Per modificare la password del proprio identificativo,
è necessario collegarsi al sito di OVH e poi richiedere
questa modifica per un identificativo dato. Viene quindi
inviata una e-mail all'indirizzo dell'identificativo, con
una URL univoca su cui cliccare. Questa URL ha 21 caratteri
generati casualmente. I 21 caratteri sono generati da tre
diversi algoritmi casuali, ciascuno dei quali genera
7 caratteri. Il cliente che riceve l'e-mail può cliccare
sull'URL e quindi recuperare la nuova password. Viene
inviata una e-mail di conferma che attesta l'esecuzione
della modifica della password. In tutte le mail che OVH
invia, è riprotato l'IP della persona che ha effettuato
l'operazione.

Questa è una procedura che è stata stabilita 7 anni fa
e che non è mai stata cambiata.

Il 26 aprile abbiamo evidenziato internamente un problema
nella generazione dei 21 caratteri. 2 algoritmi casuali
su 3 che abbiamo utilizzato in questo codice, non hanno
generato una vera e propria stringa casuale.
Si potrebbe quindi chiedere una modifica di password per
un account di accesso e forzare l'operazione per trovare
l'URL "univoca" che è stata inviata all'email dell'identificativo.
Il problema è stato messo in evidenza da uno sviluppatore interno
il 26 aprile alle 11:03:14 ed è stato coretto alle 12:54:13.
L'origine del problema è legata alla funzione rand() utilizzata
in questa parte del codice, che non è stato aggiornata come
invece è successo per il resto del codice al momento
dell'attivazione della cache di esecuzione dello script.
Abbiamo pertanto sostituito la vecchia funzione da 3 stringhe
di caratteri con risultato di 21 caratteri, con due funzioni
reali random, che restituiscono 64 caratteri.

Abbiamo quindi lanciato una ricerca ricerca nella nostra
banca dati per verificare se il guasto fosse stato risolto
e quando. Per questo abbiamo raccolto lo storico relativo alle
modifiche delle password dei vostri identificativi già da 3 anni.
Abbiamo infatti l'autorizzazione dalla CNIL ad archiviare
e conservare tutti i log dei nostri backoffice per oltre 10 anni,
proprio nel caso di questo genere di situazioni.

Abbiamo individuato 3 identificativi con servizi attivi che
hanno subito un cambio di password eseguito con brute force.
Nei 3 casi si è trattato di un attacco con bersagli la community
"bitcoin" che utilizza i servizi in OVH. L'hacker sembra aver
individuato il problema il 23 aprile alle 22:00 e ha fatto
numerosi test per mettere a punto il suo metodo in 1 ora.
Alle 23:00 il suo metodo era a punto e lui ha hackerato il
primo identificativo, il giorno seguente gli altri due, sempre
appartenenti alla community "bitcoin". Siamo stati in contatto
con questi clienti, ma la qualità delle comunicazioni non ci+
ha permesso di ottenere sufficienti informazioni per mettere
in evidenza una falla interna. Grazie ai nostri sviluppatori
interni e in modo totalmente indipendente, abbiamo risolto
il problema, solamente in quel momento abbiamo iniziato a
collegare il nostro problema con il caso dei 3 clienti.

Abbiamo sicuramente appreso una lezione su come comunicare
con i clienti in questi casi.


Abbiamo impiegato un po' di tempo a comunicare perché abbiamo
verificato che l'impatto era molto ridotto (3 identificativi)
e abbiamo deciso di prendere il tempo necessario a verificare
approfonditamente tutto per assicurarci che solo 3 utenti
della community di "bitcoin" fossero stati coinvoli.
Abbiamo attualmente terminato le ricerche iniziate 3 anni fa
e possiamo concludere che nessun altro cliente è stato
coinvolto in questo problema. Tuttavia, abbiamo intenzione
di continuare la ricerca fino a 10 anni per individuare
eventuali ulteriori brute force sull'URL di modifica della
password, ma la probabilità è nulla.

Penso che malgrato il lieve impatto sui nostri clienti,
dobbiamo informarvi di questo incidente sulla sicurezza
che abbiamo gestito la scorsa settimana. Abbiamo pertanto
stabilito una totale revisione del codice sulle sezioni più
vecchie di OVH che non sono state riscritte da diversi anni,
per verificare che non ci siano altri problemi. Nel frattempo
stiamo lavorando su come migliorare la comunicazione tra OVH
e i clienti in queste situazioni, sapendo che 2 clienti su 3
sono utenti delle nostre filiali.

Riassunto:
Si, abbiamo avuto una falla di sicurezza che ha permesso,
attraverso una procedura abbastanza complessa che includeva
il brute force, di modificare la password di un identificativo.
Consigliamo pertanto che hanno servizi sensibili di limitare
l'accesso al loro manager solo da determinati IP.

Si, 3 clienti della community "bitcoin" sono stati coinvolti
da questo bug di sicurezza. E' importante leggere le email
che OVH invia automaticamente, in particolare quelle relative
ai cambi di password che non sono inizializzati da voi e le
email che confermano queste modifiche.
In questi casi, contattateci immediatamente al nostro supporto
incidente 24/24, che bloccherà il vostro account il tempo
necessario a chiarire la situazione.

No, non c'è stato alcun furto di dati nei nostri database
dei clienti.

No, non ci sono stati altri episodi su altri clienti.

Noi siamo sinceramente desolati per i 3 clienti che hanno
subito questa situazione e li invitiamo a contattare la nostra
sezione commerciale (in francese).

Amichevolmente
Octave