Unsere Kunden und die Gemeinschaft liegen uns sehr am Herzen, und um die Transparenz zu wahren, die für den Erhalt Ihres Vertrauens unerlässlich ist, möchten wir Sie über ein kürzlich stattgefundenes Ereignis informieren.

Am 9. Juli entdeckte PagerDuty einen unbefugten Zugriff auf Kundendaten. Innerhalb weniger Stunden konnte unser Team den Angriff abwehren und hat umgehend Maßnahmen zur Risikominderung ergriffen. Dazu gehören die Verbesserung unserer Überwachungs- und Erkennungsfunktionen sowie die weitere Absicherung unserer IT-Umgebung.

Wir haben keine Hinweise darauf gefunden, dass durch diesen Vorfall Unternehmens-, technische, finanzielle oder sensible Endnutzerdaten, einschließlich Telefonnummern, offengelegt wurden. Wie Sie wissen, erfassen wir keine Sozialversicherungsnummern unserer Kunden und speichern oder haben keinen Zugriff auf Kreditkartennummern. Dieser Vorfall hatte auch keinerlei Auswirkungen auf unsere Fähigkeit, unseren Kunden Dienstleistungen anzubieten.

Wir haben ein führendes Unternehmen für Cybersicherheitsforensik beauftragt, den Angriff zu untersuchen und zu bestätigen, dass die von uns ergriffenen Maßnahmen – und unsere Sicherheitspraktiken im Allgemeinen – unseren hohen Standards entsprechen. Wir haben außerdem die Strafverfolgungsbehörden informiert und kooperieren uneingeschränkt mit deren Ermittlungen.

Die Untersuchung ergab, dass der Angreifer mehrere Authentifizierungsebenen umging und sich unbefugten Zugriff auf ein Administrationspanel eines unserer Infrastrukturanbieter verschaffte. Mit diesem Zugriff konnte er sich in eine Replik einer PagerDuty-Datenbank einloggen. Die Beweise deuten darauf hin, dass der Angreifer Zugriff auf Benutzernamen, E-Mail-Adressen, gehashte Passwörter und URLs öffentlicher Kalenderfeeds erlangte.

Passwörter sind gehasht ¹ mit Salz und Pfeffer, und es gibt keine Hinweise darauf, dass der Angreifer Zugriff auf den Pfeffer hatte, was es rechnerisch unmöglich macht, dass die gehashten Passwörter in irgendeiner Weise vom Angreifer verwendet werden können. Die Kalender-Feed-URLs bieten Benutzern einen schreibgeschützten Kalender, der ihre Bereitschaftszeiten anzeigt.

Wir sind zwar von der Stärke unserer Sicherheitsvorkehrungen zum Schutz Ihrer Passwörter überzeugt, bitten Sie aber vorsorglich, jetzt neue, sichere Passwörter festzulegen. Nutzer, die ihr Passwort nicht bis Montag, den 3. August, 12:00 Uhr pazifischer Zeit, ändern, werden automatisch abgemeldet und erhalten eine E-Mail mit der Aufforderung, ihr Passwort zurückzusetzen. Die Zustellung von Benachrichtigungen ist von diesem Vorgang nicht betroffen.

Wir empfehlen außerdem, dass Kunden URLs für Kalender-Feed zurücksetzen Und Zugriff widerrufen und erneut hinzufügen auf alle Mobilgeräte, die mit ihrem PagerDuty Konto verknüpft sind.

Uns ist bewusst, dass Angreifer die im Zuge dieses Vorfalls offengelegten Namen und E-Mail-Adressen für Phishing-Angriffe missbrauchen könnten. Daher bitten wir Sie dringend, Ihre Online-Identität zu schützen. PagerDuty wird Sie niemals per E-Mail nach Ihrem Passwort oder anderen sensiblen Daten fragen.

Ich war persönlich in jeden Schritt unserer Reaktion eingebunden. Wir schätzen Ihr Vertrauen in unser Unternehmen und streben danach, die von uns selbst gesetzten hohen Standards zu erfüllen. Ich sehe dieses Ereignis als Gelegenheit, unsere Sicherheitsvorkehrungen zu überprüfen und zu verbessern und werde auch weiterhin strenge interne Sicherheitsmaßnahmen und -prozesse gewährleisten.

Wir entschuldigen uns für diesen Vorfall. Bei Fragen können Sie uns direkt kontaktieren unter support@pagerduty.com Die

  1. Wir verwenden robuste Hash-Verfahren zum Schutz von Passwörtern. Wenn Sie sich seit dem 1. Januar 2015 in Ihr Konto eingeloggt haben, wird Ihr Passwort mit Bcrypt und einem Arbeitsfaktor von 10 gehasht. Dabei wird ein benutzerspezifischer, zufällig generierter Hashwert verwendet. Salz und eine standortweite Pfeffer Ältere Passwörter werden mit SHA-1 gehasht, wobei mehrere Runden und das gleiche Salt-and-Pepper-Verfahren verwendet werden. Es gibt keine Hinweise darauf, dass der Angreifer Zugriff auf den Pepper hatte. Sowohl Salt als auch Pepper sind 40 Zeichen lang und werden zufällig generiert.