We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Security Incident


azrael666x
30.07.2013, 11.07
In realtà, le novità erano già in cantiere da un po', la concomitanza tra i nuovi lanci e l'attacco è una coincidenza

ciberpeppe
28.07.2013, 00.50
Citazione Originariamente Scritto da pftech
Ci sono novità in merito al buco di sicurezza avvenuto nei giorni scorsi???

Ciao!!!!


PS: Una "malignità": son solo io che lo sto notando ma in seguito al security leak avvenuto, OVH sembra si sia "svegliata" ricca e carica di novità tecnologiche a prezzi MOLTO interessanti?!?!? Davvero un bello "stimolo" se è così!!!!!
Si io ho pensato più o meno la stessa cosa, solo che sono più cattivo perchè ho pensato che hanno lanciato tutte quelle novità per "sotterrare" questa brutta faccenda

pftech
26.07.2013, 07.32
Ci sono novità in merito al buco di sicurezza avvenuto nei giorni scorsi???

Ciao!!!!


PS: Una "malignità": son solo io che lo sto notando ma in seguito al security leak avvenuto, OVH sembra si sia "svegliata" ricca e carica di novità tecnologiche a prezzi MOLTO interessanti?!?!? Davvero un bello "stimolo" se è così!!!!!

pftech
25.07.2013, 07.04
Citazione Originariamente Scritto da Artemis
non mi sento di colpevolizzare nessuno. Può succedere... non dovrebbe.. ma può succedere.. Non credo esistano al mondo sistemi sicuri al 100% .. grazie ovh per la correttezza e l'onesta di avercelo comunicato. come ha giustamente detto pftech.. chissà quante volte sarà successo ad altre società e non lo sappiamo..
Sottoscrivo al 100%... a noi stessi è capitato più volte tentativi di sfondamento dei nostri server e una volta ci sono riusciti anche per benino!!!!

Per fortuna abbiamo sempre riparato al malfatto e, anzi, siamo cresciuti imparando ovviamente dagli errori commessi. Sono sicuro che OVH crescerà da questo grosso problema che hanno subito!!!

Mi piacerebbe solo avere, a distanza anche di qualche giorno dall'accaduto, maggiori informazioni tecniche su cos'è realmente successo, se si può sapere e su cosa è stato realmente rubato, giusto per saperci regolare a nostra volta con i clienti! Mi sembrerebbe corretto ... fino in fondo!!!!!

Speriamo in bene che non vogliano lasciare la notizia così come l'hanno data senza maggiori delucidazioni in merito!!!!

Artemis
24.07.2013, 16.20
non mi sento di colpevolizzare nessuno. Può succedere... non dovrebbe.. ma può succedere.. Non credo esistano al mondo sistemi sicuri al 100% .. grazie ovh per la correttezza e l'onesta di avercelo comunicato. come ha giustamente detto pftech.. chissà quante volte sarà successo ad altre società e non lo sappiamo..

Acidflame
24.07.2013, 10.58
Citazione Originariamente Scritto da torpado
In questo caso delicato e che coinvolge diversi aspetti, al fine di non provocare incomprensioni e di non fornire versioni non ufficiali di quello che le indagini, ancora in corso, faranno emergere vi rimandiamo alla consultazione del
task ufficiale :

http://status.ovh.net/?do=details&id=5070

Verrà aggiornato riportando informazioni ufficiali a tempo debito.
Quel che c'è scritto li è quello che è scritto qui sopra della serie "dico tutto, ma non dico nulla." Siccome chi scrive in questo post lavora non si diverte avremmo bisogno di maggiori informazioni sia sul livello di accesso ai server sia sui dati anagrafici rubati.

Io ho un server in America e non è arrivata alcuna mail di cambio password e vorrei capire fino a che punto c'è stata l'intrusione.

andrea_2010
24.07.2013, 09.13
Ok, arrivata poco dopo aver scritto il messaggio.
Cambiata password del manager, speriamo basti...

pftech
23.07.2013, 19.08
A noi ci sono arrivate la bellezza di 34 email di avviso, di vari NIC-Handle (non attivi) che si creano automaticamente quando registriamo i domini intestati ai nostri clienti.

Peccato che le email si sono fermate alla lettera G iniziale dei NIC-Handle e non sono andati oltre (il nostro NIC principale inizia con la letta V e non è arrivata, inutile a dire che ci siamo già cambiati la password!).


Speriamo bene....

EvolutionCrazy
23.07.2013, 17.18
a me non è arrivato nulla su nessun account

andrea_2010
23.07.2013, 16.13
An email will be sent today to all our customers explaining these security measures and inviting them to change their password.
A qualcuno è arrivata?
Riguarda le credenziali dell'OVH manager o che altro?

torpado
23.07.2013, 09.59
Citazione Originariamente Scritto da g4b0
Nel 2010 avevo paventato questa eventualità http://forum.ovh.it/showthread.php?t=2060 e mi è stato risposto "a la chiave è custodita in modo da essere assolutamente sicura e non utilizzabile ad altri che ai tecnici Ovh".

Una domanda per OVH: nei dati rubati era presente anche l'email, oltre all'anagrafica compelta?

g4b0
In questo caso delicato e che coinvolge diversi aspetti, al fine di non provocare incomprensioni e di non fornire versioni non ufficiali di quello che le indagini, ancora in corso, faranno emergere vi rimandiamo alla consultazione del
task ufficiale :

http://status.ovh.net/?do=details&id=5070

Verrà aggiornato riportando informazioni ufficiali a tempo debito.

torpado
23.07.2013, 09.55
In questo caso delicato e che coinvolge diversi aspetti, al fine di non provocare incomprensioni e di non fornire versioni non ufficiali di quello che le indagini, ancora in corso, faranno emergere vi rimandiamo alla consultazione del
task ufficiale :

http://status.ovh.net/?do=details&id=5070

Verrà aggiornato riportando informazioni ufficiali a tempo debito.

g4b0
23.07.2013, 09.11
Nel 2010 avevo paventato questa eventualità http://forum.ovh.it/showthread.php?t=2060 e mi è stato risposto "a la chiave è custodita in modo da essere assolutamente sicura e non utilizzabile ad altri che ai tecnici Ovh".

Una domanda per OVH: nei dati rubati era presente anche l'email, oltre all'anagrafica compelta?

g4b0

pftech
23.07.2013, 06.58
Assolutamente d'accordo con Acidflame!
Io principalmente mi preoccupo però dei dati personali.

Sto pensando ai centinaia di dati anagrafici dei miei clienti, oltre che indirizzi email, che ci sono sui server OVH (bucati) che possono essere utilizzati per qualsiasi scopo (compreso essere venduti per utilizzarli come vere identità fasulle!).

Stiamo valutando con il nostro legale aziendale, se non valga la pena di fare una denuncia per violazione della privacy o una segnalazione al Garante. Se non altro per metterci al riparo da eventuali denunce da parte dei nostri clienti!

Se i dati sono stati compromessi è perchè forse la sicurezza non era poi così elevata. Mi spiace essere cinico e critico, ma la realtà è questa ed è MOLTO GRAVE!!!

Forse come dice Acid, le scuse non bastano... sarebbe ora di cambiare un po' rotta, specialmente verso i vostri clienti affezionati!!!!

Poi se vogliamo dirla tutta, onore al merito e ammettere cos'è accaduto in tutta sincerità. Forse, accadesse (o magari è già accaduto) ad altre società, magari non l'avrebbero mai ammesso o si sarebbe scoperto dopo mesi/anni!

Acidflame
22.07.2013, 23.20
E siamo a due o mi sbaglio? L'altra volta era un problema di cifratura della password ora si sono fregati la password dell'amministratore...

E ora passiamo alle domande.

Se ho capito non solo è stato bucato l'accesso dell'amministrazione, ma potrebbero essere ipoteticamente stati bucati anche i server di BHS visto che nel frattempo che vi siete accorti di questa cosa e avete cambiato password (a me ancora non è arrivata nessuna nuova password) il malintenzionato avrebbe potuto installare un exploit per utilizzare i server per scopi non leciti. Come intendete procedere nel caso ci fossero anomalie nei prossimi giorni sui server in BHS?
Procederete sempre con la vostra politica oppure stavolta concederete un controllo gratuito del server atto a cercare l'exploit utilizzato visto che la colpa potrebbe essere di OVH e non del cliente?

Hanno rubato nominativi e non solo email (alla faccia di chi per una newsletter di manda a quel paese invocando il garante sulla privacy ora voglio vedere cosa dicono) come intendete comportarvi con i clienti? Io credo che una semplice "scusa non lo facciamo più staremo più attenti" non basta a tutti, fermo restando che la cosa che mi preoccupa di più è l'accesso ai server.

Sono cose che non dovrebbero capitare, ma credo che sia arrivato il momento per OVH di rivalutare anche il sistema di vendita visto che molti attacchi provengono proprio dalla rete OVH e rivedere completamente il sistema di sicurezza altro che paranoia.

oles@ovh.net
22.07.2013, 16.22
http://status.ovh.net/?do=details&id=5070

Salve,

qualche giorno fa abbiamo scoperto che un attacco ha compromesso la sicurezza della nostra rete interna nei nostri uffici di Roubaix.

Dopo le indagini interne abbiamo scoperto che si tratta di un hacker che è riuscito ad accedere all’account email di un nostro amministratore di sistema. Con questo accesso è riuscito a entrare nella VPN interna di un altro dipendente OVH. Grazie all’accesso VPN è riuscito a forzare gli accessi di un amministratore di sistema che si occupa di backoffice interno.

Finora la sicurezza OVH si è basata su 2 livelli:

- Geografico: obbligo di essere in ufficio o di utilizzare la VPN (IP sorgente)

- Personale: password

--Provvedimenti presi a seguito di questo incidente --

Subito dopo l’attacco abbiamo modificato le regole di sicurezza interne:

- Le password di tutti i dipendenti sono state rigenerate per tutti i tipi di accesso

- Abbiamo installato una nuova VPN in una sala sicura PCI-DSS con accessi molto limitati

- La consultazione delle email è possibile solo dall’ufficio/VPN

- Tutti i dipendenti OVH utilizzano 3 livelli di identificazione

o IP sorgente

o Password

o Token Hardware personale (Yubikey)





Conclusioni

-------

Durante le indagini interne su questo incidente abbiamo scoperto che gli hacker hanno probabilmente forzato accessi limitati per raggiungere 2 obiettivi :

- Recuperare il database dei nostri clienti Europa

- Ottenere l’accesso al sistema di installazione dei server in Canada

Il database dei clienti Europa è costituito dai dati personali dei clienti : cognome, nome, Nic, indirizzo, città, stato, telefono, fax e password cifrata.

Il cifraggio della password è « occultato/contraffatto » e basato su SHA512, per evitare attacchi brute-force. E’ necessario utilizzare molti mezzi tecnici per recuperare la password in chiaro.

Ma è possibile.

Ecco perché vi consigliamo di cambiare la password del vostro identificativo. Verrà inviata una mail a tutti i clienti che descrive le misure di sicurezza e li invita a cambiare la password.

Le informazioni sulle carte bancarie non sono state consultate né copiate. Ad oggi non le conserviamo sulle nostre infrastrutture.

Riguardo al problema di installazione di server in Quebec, il rischio che abbiamo identificato è che se il cliente non avesse ritirato la nostra chiave SSH del server, l’hacker avrebbe potuto connettersi accedendo dal nostro sistema per recuperare la password registrata nel file .p.

La chiave SSH non è utilizzabile accedendo da un altro server ma unicamente dal nostro backoffice in Canada.

Quindi nel caso in cui il cliente non avesse tolto la nostra chiave SSH e non avesse cambiato la password Root, abbiamo immediatamente cambiato la password del suo server nel datacenter di BHS per annullare questo rischio. Verrà inviata una mail con la nuova password. La chiave SSH sarà cancellata sistematicamente per l’invio del server sia in Canada che in Europa. Se il cliente ha bisogno di OVH per il supporto dovrà installare una nuova chiave SSH.
In generale, il backoffice passerà i prossimi mesi seguendo la regola PCI-DSS che ci permetterà di garantire che in caso di incidente collegato a un attacco preciso rivolto a persone precise, non ci sia impatto sui nostri database.
In poche parole, noi che da sempre esageriamo con la sicurezza rasentando quasi la paranoia, ora passiamo a un livello di paranoia ancora più alto. Lo scopo è di garantire la sicurezza dei vostri dati e di premunirci in caso di attacco di spionaggio industriale nei confronti dei dipendenti di OVH.

Abbiamo anche sporto denuncia per questo reato penale alle autorità giudiziarie. Per non intralciare il lavoro degli investigatori, non forniremo altri dettagli prima della conclusione delle indagini.

Vi prego di accettare le nostre scuse più sincere per questo incidente.

Grazie della vostra comprensione.

Un saluto da amico,

Octave