Nos clients et notre communauté sont très importants pour nous, et afin de maintenir la transparence essentielle pour préserver votre confiance, nous souhaitions vous informer d'un événement récent.

Le 9 juillet, PagerDuty a détecté une intrusion non autorisée. Un pirate a ainsi accédé à des informations concernant nos clients. Quelques heures après l'intrusion, notre équipe a neutralisé l'attaque et nous avons immédiatement pris des mesures pour atténuer le problème, notamment en renforçant nos capacités de surveillance et de détection et en sécurisant davantage notre environnement.

Nous n'avons trouvé aucune preuve que des informations confidentielles, techniques, financières ou relatives à l'entreprise, y compris les numéros de téléphone des utilisateurs finaux, aient été compromises lors de cet incident. Comme vous le savez, nous ne collectons pas les numéros de sécurité sociale de nos clients et nous ne conservons ni n'avons accès à leurs numéros de carte bancaire. Cet incident n'a par ailleurs eu aucune incidence sur notre capacité à fournir nos services à nos clients.

Nous avons mandaté un cabinet d'experts en cybersécurité de premier plan pour enquêter sur l'attaque et vérifier que les mesures prises pour y remédier – ainsi que nos pratiques de sécurité en général – répondent aux normes d'excellence que nous nous imposons. Nous avons également informé les forces de l'ordre et coopérons pleinement à leur enquête.

L'enquête a révélé que l'attaquant a contourné plusieurs niveaux d'authentification et obtenu un accès non autorisé à un panneau d'administration fourni par l'un de nos prestataires d'infrastructure. Grâce à cet accès, il a pu se connecter à une réplique d'une des bases de données de PagerDuty. Les éléments recueillis indiquent que l'attaquant a obtenu les noms d'utilisateur, les adresses électroniques, les mots de passe chiffrés et les URL des flux de calendrier publics.

Les mots de passe sont haché ¹ avec du sel et du poivre, et nous n'avons aucune preuve que l'attaquant ait pu accéder au poivre, ce qui rend informatiquement impossible l'utilisation des mots de passe hachés par l'attaquant. Les URL du flux de calendrier permettent aux utilisateurs de consulter en lecture seule leur calendrier de garde.

Bien que nous soyons confiants dans la robustesse des mesures de protection mises en place pour sécuriser les mots de passe des utilisateurs, nous leur demandons, par mesure de précaution, de définir dès maintenant un nouveau mot de passe complexe. Les utilisateurs qui n'auront pas réinitialisé leur mot de passe avant le lundi 3 août à midi (heure du Pacifique) seront automatiquement déconnectés du site web et recevront un courriel les invitant à le faire. La réception des alertes ne sera en aucun cas affectée par cette procédure.

Nous recommandons également aux clients Réinitialiser les URL du flux du calendrier et révoquer et rétablir l'accès à tous les appareils mobiles liés à leur compte PagerDuty .

Nous sommes conscients qu'un pirate pourrait utiliser les noms et adresses électroniques divulgués lors de cet incident pour cibler des clients par le biais d'attaques d'hameçonnage. C'est pourquoi nous vous encourageons vivement à redoubler de vigilance quant à la protection de votre identité en ligne. PagerDuty ne vous demandera jamais votre mot de passe ni aucune autre information sensible par courriel.

Je me suis personnellement impliqué dans notre réponse à chaque étape. Nous attachons une grande importance à la confiance que vous nous témoignez et nous nous efforçons de respecter les normes élevées que nous nous sommes fixées. Je considère cet événement comme une occasion de revoir et d'améliorer notre sécurité, et je reste attaché à des pratiques et des processus de sécurité interne rigoureux.

Nous vous prions de nous excuser pour cet incident. Pour toute question, vous pouvez nous contacter directement à l'adresse suivante : support@pagerduty.com .

  1. Nous utilisons des techniques de hachage robustes pour protéger les mots de passe. Si vous vous êtes connecté à votre compte depuis le 1er janvier 2015, votre mot de passe est haché avec Bcrypt avec un facteur de travail de 10, en utilisant un algorithme de hachage aléatoire spécifique à chaque utilisateur. sel et à l'échelle du site poivre Les mots de passe plus anciens sont hachés avec SHA-1 étendu sur plusieurs itérations et utilisent la même méthode de chiffrement (sel et poivre). Nous n'avons aucune preuve que l'attaquant ait pu accéder au poivre. Nos séquences de sel et de poivre comportent 40 caractères et sont générées aléatoirement.