OVHcloud Customer Services Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
b10/ancien serveur forum
Incident Report for Customer Service
Resolved
Bonsoir,
Le Lundi 20 février, l’équipe SOC a reçu des alertes signalant des tentatives de connexion sur nos systèmes internes à partir de l’ancien serveur qui hébergeait l’ancien forum d’OVH. Ce serveur a été isolé et sorti de la production en avril 2015 suite au piratage du forum. Normalement ce serveur aurait dû être arrêté depuis, mais il est resté allumé. Nous avons procédé à son analyse et y avons constaté des traces d’activité malveillante. En effet, un hacker a été connecté sur ce serveur et a pu accéder, à nouveau, à l’ancienne base de données des utilisateurs du forum qui avait été compromise en 2015 (Incident que nous avions notifié aux membres du forum ainsi qu’à la CNIL : https://forum.ovh.com/showthread.php/104744-La-securit%C3%A9-de-forum-ovh-com-A-LIRE-!!!).

Comment le hacker a-t-il pu accéder à l’ancien serveur du forum ? Cela remonte au 17 février, 3 jours avant les alertes. A cette date, le hacker est parvenu à se connecter au serveur en utilisant l’accès à partir d’un ancien serveur de bordure (b10) qui n’était plus en production depuis 2-3 ans. Le serveur b10 a été sorti de la production et tous les éléments sensibles ont été effacés. En effet, il y a 2-3 ans, suite à une migration et une refonte de nos bastions internes, le serveur b10 a pris sa retraite et donc il aurait dû être coupé.

Nous avons passé ces dernières 72H à analyser les logs afin de comprendre ce que le hacker avait fait et aurait pu faire. Le hacker a gagné l’accès sur le serveur b10 il y a 3 semaines. Il a fait beaucoup de tentatives de connexion à partir de b10 mais sans succès. Et au bout de 3 semaines, il a pu gagner l’accès sur le fameux ancien serveur du forum. Nous pensons qu’il aurait probablement craqué un mot de passe sur le b10 (accidentellement laissé dans /etc/shadow) et ce même mot de passe aurait fonctionné sur l’ancien serveur du forum. Nous n’utilisons plus de mots de passe depuis plusieurs années mais visiblement ces 2 vieux serveurs n’ont pas été correctement nettoyés.

En l’état, nous ne voyons aucun accès du hacker en dehors de ces 2 anciens serveurs. Aucun accès sur les données sensibles n’a été trouvé. Aucune base de données interne n’a fuité. Vous n’avez pas besoin de changer les mots de passe que vous utilisez chez OVH et bien sûr il est inutile de réinstaller vos services. Aucun bastion n’a été compromis. Aucune clé privée n’a été dérobée.

Pour être totalement serein, nous continuons les analyses de tout le périmètre interne. Même si le hacker n’a pas pu avoir l’accès aux données sensibles, nous prenons cet incident très au sérieux. Par précautions, nous repassons sur toutes les infrastructures internes et nous en profitons pour éteindre les serveurs qui auraient dû l’être et mettre au carré tous les systèmes en profondeur qui n’auraient pas encore été. Des opérations qui auraient dû être faites depuis 1 an. En effet, il s’agit d’une négligence de notre part et nous aurions dû éteindre ces 2 serveurs il y a déjà longtemps.

La sécurité est un aspect essentiel de notre métier. C’est la base de la confiance que vous nous accordez. Lorsque nous n’atteignons pas le niveau attendu, même s’il s’agit d’un évènement qui ne vous impacte pas directement, nous vous devons la plus grande transparence. D’où ce task travaux.

Amicalement
Octave
Posted Feb 22, 2017 - 22:51 UTC
This incident affected: Control panel & API || Control panel (EU, CA).