A Zendesk, fornecedora de software como serviço (SaaS) para gerenciamento de relacionamento com o cliente (CRM), com forte atuação no Brasil, alertou os clientes sobre uma campanha bem-sucedida de phishing por SMS que expôs “dados de serviço”, mas a empresa não deu detalhes sobre o vazamento.
A empresa sofreu o ataque em outubro do ano passado, que expôs dados de contas dos clientes, de acordo com um e-mail enviado aos proprietários das contas afetadas em janeiro deste ano. O e-mail da Zendesk com os detalhes do incidente de segurança foi divulgado pela Coinigy, que fornece serviços de carteira virtual e “sentiu a necessidade de divulgá-lo aos nossos clientes”, explicou o post da Coinigy sobre o comprometimento.
A Zendesk explicou no e-mail à Coinigy que a violação foi resultado de uma campanha de phishing por SMS direcionada aos seus funcionários. “A Zendesk determinou que os dados de serviço pertencentes à sua conta coiningy.zendesk.com podem estar nos dados não estruturados (expostos) da plataforma de registro”, explicou o e-mail da Zendesk. “Não há evidências de que o operador da ameaça tenha acessado a instância do Zendesk da sua conta coiningy.zendesk.com em qualquer momento.”
Veja isso
Falhas críticas de SQL podem dar acesso ao Zendesk Explore
Vazam 10 mil contas da Zendesk
Além de aplaudir a decisão da Coinigy de compartilhar os detalhes do comprometimento, o pesquisador de segurança Jake Williams não ficou tão animado com a resposta da Zendesk. “A divulgação é vaga e faz referência a ‘dados não estruturados de uma plataforma de registro’ que podem ser praticamente qualquer coisa”, disse Williams ao site Dark Reading. “A divulgação simplesmente não fornece informações suficientes para qualquer organização avaliar o que, se houver, eles precisam fazer em resposta”, disse Williams.
Ainda não se sabe se outros clientes da Zendesk além da Coinigy foram afetados.