Zapier informa sobre un acceso no autorizado a sus repositorios de código, lo que podría haber comprometido datos de clientes.
La violación de seguridad se originó por una "mala configuración" del sistema de autenticación de dos factores (2FA).
Zapier comunicó a sus clientes que un "usuario no autorizado" logró acceder a "ciertos repositorios de código" de la plataforma, lo que podría haber llevado a la obtención de información de clientes. Según la empresa, algunos datos de clientes fueron "copiados inadvertidamente a los repositorios con fines de depuración", información que fue compartida en un correo electrónico.
La compañía tomó conocimiento del acceso no autorizado el jueves pasado y actuó de inmediato, asegurando el acceso a los repositorios y desactivando la entrada del usuario no autorizado. Zapier aclaró que este incidente "no afectó ninguna base de datos, infraestructura, producción, autenticación ni sistemas de pago" de la empresa.
Se determinó que el acceso no autorizado ocurrió debido a una "mala configuración de la autenticación de dos factores (2FA) en la cuenta de un empleado". Actualmente, Zapier está llevando a cabo una revisión de sus procesos para evitar que situaciones similares se repitan en el futuro.
En el correo completo, el jefe de seguridad de Zapier, Zeeshan Khadim, explicó la situación a los clientes afectados, detallando que aunque la situación normalmente no impacta a los clientes, como medida de precaución se realizó una auditoría de los repositorios. Se encontró que, en casos aislados, cierta información de clientes había sido copiada al repositorio.
Los clientes fueron informados de que su información podría haber sido accedida y se les proporcionó un enlace seguro para revisar sus datos. Se aconsejó a los usuarios tomar medidas adecuadas, como la rotación de tokens de autenticación en texto claro que pudieran haber sido utilizados en lugares como configuraciones de código o pasos de webhook. Sin embargo, Zapier aseguró que los tokens de autenticación de Zap/App no fueron afectados.
La empresa recomendó a los usuarios revisar la configuración de seguridad en sus cuentas de Zapier y otras aplicaciones en línea, incluyendo la activación de la autenticación de dos factores donde fuera posible.
Zapier está comprometido con la realización de una auditoría y la mejora de sus procesos internos para garantizar que incidentes como este no vuelvan a ocurrir.
