线上客服系统Zendesk周三发布公告,其系统于2016年11月遭黑,导致Zendesk Support及Chat将近万名注册用户个人信息遭到访问。
Zendesk是集成邮件、留言系统、即时通信与Facebook粉丝专页的线上客服平台。它在9月24日被“第三方单位”通报“某个事件”,而获知系统于三年前被黑。公司目前正在调查,初步研判,线上客服支持系统Zendesk和通信服务Chat,在2016年11月1日以前注册的用户个人信息遭到非授权访问,总数将近1万人,但强调其中包括已过期的试用账号及未再使用的账号。在此之后创建账号者,则不受影响。
外泄的用户个人信息包括Zendesk客服人员及用户的电子邮件、姓名、电话。该公司强调这些客服人员及用户的密码,都经过散列及加盐(salted)处理,也未发现这些密码有在这次事件中,被用来访问Zendesk服务。
Zendesk还发现有将近700名客户账号的验证信息外流,包括Zendesk客户提供的TLS加密密钥及Zendesk app软件市场下载或私有app的组态设置,包括这些app用来验证第三方服务的集成密钥。Zendesk建议这些app用户应全部重设密码,且重新上传TLS凭证,并取消旧凭证。
Zendesk已通知受影响的客户,同时为了以防万一,将对所有Support和Chat客服,以及2016年11月1日以前创建账号的Support用户,进行密码轮换(password rotation)。用户下次登录会被要求重设密码。而和Support共享密码的所有其他产品,包括Guide、Talk、Explore也会受影响。
Zendesk说,虽然没有发现其他验证数据外泄,但建议2016年11月以前注册的用户最好重设所有验证数据。Chat的API Token则可不必轮换。
Zendesk于2013年也曾发生过类似的数据外泄,还波及推特、Tumblr及Pinterest等其他服务。