Resumen

  • El FAQ actualizado de Zendesk indica que fue alertada en 2019 sobre un problema de seguridad relacionado con cuentas de cliente de Support y Chat activadas antes de noviembre de 2016, y que se accedió sin autorización a la información de esas cuentas antes de esa fecha.
  • La pregunta central de responsabilidad es: ¿quién tenía el control práctico sobre la retención de la base de datos de soporte, la exposición de credenciales y tokens, el momento de la notificación al cliente, la segmentación de inquilinos, la reconstrucción de auditoría y la prueba de que el contenido de los tickets estaba limitado?
  • Los informes públicos iniciales describieron el conjunto afectado como aproximadamente 10,000 cuentas de Support y Chat; el FAQ posterior de Zendesk identifica alrededor de 15,000 cuentas y señala que se accedió a cierta información de autenticación de un conjunto de aproximadamente 7,000 cuentas de cliente.
  • Los clientes que usan Zendesk para soporte, chat, centros de ayuda, integraciones y operaciones de cliente tuvieron que determinar si los metadatos antiguos de soporte aún podían exponer a agentes, usuarios finales, integraciones, certificados o la confianza de clientes posteriores.
  • El registro respalda una conclusión de responsabilidad de alta confianza sobre la retención, la autenticación, la notificación y los límites de la evidencia. No respalda la invención de hechos privados sobre cada inquilino, cada ticket, cada credencial de aplicación, cada clave TLS o cada decisión de cliente posterior.