Vážení zákazníci,

předně bych se Vám chtěl osobně omluvit za zhoršenou kvalitu poskytovaných služeb v posledních několika dnech – především nedostupnosti webových stránek. Stejně tak bych se chtěl omluvit za mnohdy stručné informace od zákaznické podpory, které nemusely být dostačující, avšak v plném nasazení jsme se věnovali řešení celé situace, kterou bych vám chtěl nyní přiblížit.

V průběhu víkendu (3. a 4. 11. 2018) naše kontrolní mechanismy zaznamenaly neobvykle vysoké množství podezřelých přístupů do administračního rozhraní z IP adres lokalizovaných v Rusku a na Ukrajině. Situaci jsme začali okamžitě prověřovat podle procesů nastavených pro takové události, a dospěli jsme k podezření, že mohlo dojít k narušení bezpečnosti některé ze součástí našeho systému. Analýza takového problému je mimořádně složitá jak časově náročná, mimo jiné proto, že běžně dochází na straně zákazníků k úniku přístupů např. v důsledku zavirovaných PC, a je tak složité odlišit bezpečnostní incident na straně klientů (např. nový virus), a na straně našich systémů. Dospěli jsme však k podezření, že mohlo dojít v době cca 3-4 roky zpětně k úniku blíže neurčené části databáze přístupových údajů do administračního rozhraní (což jsme dovodili podle spektra domén, na které bylo přistupováno, a doby zřízení a případného ukončení služeb u nás) a testování přístupu pomocí těchto údajů.

Všechna hesla ve všech našich systémech jsou a vždy byla šifrována. V čase ale dochází k vývoji šifrovacích algoritmů, i nacházení jejich zranitelností, a i přesto, že jsme během let opakovaně inovovali metodiku kryptování, z podstaty věci nelze „překryptovat“ starší hesla, neboť je neznáme v čitelné podobě. Tedy zatímco kdysi byla používána a považována za obecně bezpečnou velmi široce oblíbená šifra MD5, v čase jsme postupem času dospěli až k aktuálně používané SHA512-CRYPT – nezbylo nám však, než stará hesla uživatelů ponechat v původní šifře až do okamžiku, než uživatel heslo sám změnil. Současně naše administrace dříve (několik let zpět) nevyžadovala žádnou úroveň složitosti hesla, a tak existují historicky i uživatelé, jejichž heslo je složeno jen z malých písmen, či dokonce slov, a taková hesla lze i z šifrované podoby prolomit do čistého textu.

Z aktuálně dostupných zjištění a bezpečnostního auditu prováděného v kooperaci s renomovanou společností activo systems s.r.o., která se bezpečností serverů zabývá téměř deset let, jsme dospěli k tomu, že kompromitováno mohlo být pouze přibližně 3-4% z celkového počtu zákaznických účtů (část z nich jsou navíc účty po expirovaných službách, tedy „prázdné“).

Bezpečnost je pro nás na prvním místě, rozhodli jsme se proto k mimořádnému kroku – zneplatnění všech hesel do administračního rozhraní k FTP, přičemž je třeba, aby si každý zákazník nechal zaslat heslo nové (do administrace), a tamtéž nastavil nové heslo (k FTP). Hesla k FTP nebyla sice kompromitována vůbec, avšak značná část z nich používá rovněž starší šifrování, a proto jsme se rozhodli při této příležitosti přistoupit i k jejich resetu.

Tím zajistíme, že všechna hesla budou kryptována nejnovějším algoritmem SHA512-CRYPT a současně nebude existovat riziko zneužití starých hesel, byť u několika málo zákazníků.

Je na místě konstatovat, že s naprostou jistotou nedošlo ke kompromitaci přístupových údajů do e-mailových služeb, neboť tato jsou kryptována ve starším případech velmi silným algoritmem SHA512-CRYPT, v novějších případech algoritmem Argon2, obojí je považováno v současné době při přiměřené složitosti hesla za neprolomitelné.

Celá situace je velmi komplikovaná především mnohaletým časovým odstupem od pravděpodobné doby úniku, kdy tak dlouho zpětně nejsou k dispozici nejen logy, ale často ani tehdy používané fyzické servery. Přesto intenzivně pracujeme jak na analýze celého incidentu, tak především zajištění dostupnosti veškerých služeb v plném rozsahu, což se ode dnešního odpoledne až na několik málo výjimek daří. Přijměte, prosím, naši osobní omluvu za vzniklé komplikace a problémy, chceme se k celé věci stavět čelem a proto takto otevřeně a obsáhle informujeme o problému i všech jeho důsledcích.

Současně touto cestou žádáme uživatele, kteří se z jakýchkoli důvodů nemohou dostat do e-mailu, který používají v administraci, aby kontaktovali naši zákaznickou podporu a reset hesla jsme vyřešili individuálně. V naprosté většině případů dovedeme uživatele identifikovat i podle jiných parametrů a aktualizovat kontaktní údaje.

Ještě jednou děkujeme za vaši trpělivost a spolupráci.

Jan Horák, jednatel
Gransy s.r.o.
Poslání společnosti:
Pečovat o domény. Maximálně automatizovat procesy a umožnit zákazníkům jejich využití při správě doménového portfólia. Nabízet doménové nástroje a služby, které lze konfigurovat podle vlastních potřeb a schopností.

Copyright © 2014 - 2018 Gransy s.r.o., Všechna práva vyhrazena.

Mapa webu PC version English version