Jay Peters é um editor de notícias cobrindo tecnologia, jogos e mais. Ele se juntou ao The Verge em 2019, após quase dois anos no Techmeme.
Zapier informou aos clientes na sexta-feira que um “usuário não autorizado” acessou “certos repositórios de código do Zapier” e pode ter obtido acesso a informações de clientes como resultado. Os dados dos clientes foram “copiados inadvertidamente para os repositórios para fins de depuração”, de acordo com um e-mail obtido pelo The Verge.
A empresa diz que tomou conhecimento do acesso não autorizado na quinta-feira. Quando isso aconteceu, a empresa “imediatamente garantiu o acesso aos repositórios e invalidou o acesso do usuário não autorizado”, diz o e-mail. Zapier afirma que o incidente “não afetou nenhum banco de dados, infraestrutura ou produção do Zapier, sistemas de autenticação ou de pagamento”.
Os repositórios de código não deveriam incluir dados de clientes. Mas após uma auditoria, a Zapier descobriu que algumas informações haviam sido “copiadas inadvertidamente”. A plataforma da Zapier permite que os usuários criem automações que funcionam em outros aplicativos e serviços de empresas, potencialmente colocando-a no meio de muitas informações sensíveis.
O hacker conseguiu acessar os repositórios devido a uma “configuração incorreta de autenticação de dois fatores (2FA) na conta de um funcionário”. A empresa diz que agora está realizando uma revisão de seus processos para “garantir que isso não ocorra novamente”.
Zapier não respondeu imediatamente a pedidos de comentários.
Aqui está o e-mail completo obtido pelo The Verge, assinado pelo chefe de segurança da Zapier, Zeeshan Khadim:
Olá,
Estamos escrevendo para informá-lo sobre um incidente de segurança. Devido a uma configuração incorreta de autenticação de dois fatores (2FA) na conta de um funcionário, um usuário não autorizado ganhou acesso a certos repositórios de código do Zapier. Normalmente, isso não impactaria nossos clientes. Por precaução, auditamos o conteúdo dos repositórios e encontramos que, em casos isolados, certas informações de clientes foram copiadas inadvertidamente para os repositórios para fins de depuração.
Tomamos conhecimento do acesso não autorizado aos repositórios afetados na quinta-feira, 27 de fevereiro de 2025 (2025-02-27 09:38:48 UTC). Assim que tomamos conhecimento do problema, imediatamente garantimos o acesso aos repositórios e invalidamos o acesso do usuário não autorizado. Este incidente não afetou nenhum banco de dados, infraestrutura ou produção do Zapier, sistemas de autenticação ou de pagamento.
Em nossa auditoria, encontramos que um subconjunto de seus dados estava incluído em um repositório e pode ter sido acessado pelo usuário não autorizado. Aqui está um link seguro para você acessar uma cópia de seus dados afetados.
Por favor, revise esses dados e tome as ações apropriadas, que podem incluir a rotação de quaisquer tokens de autenticação em texto simples que possam ter sido usados em locais como código ou configuração de passo de webhook que foram encontrados nos dados afetados. Note que seus tokens de autenticação do Zap/App não foram impactados por este incidente. Também recomendamos que você revise as configurações de segurança em sua conta Zapier e em seus outros aplicativos online, incluindo a ativação de 2FA onde disponível.
Estamos realizando uma auditoria completa e remediação de nossos processos internos para garantir que isso não ocorra novamente para você ou outros clientes.
Se você tiver alguma dúvida, sinta-se à vontade para entrar em contato usando nosso formulário de contato em https://zapier.com/app/get-help ou respondendo a este e-mail. Estamos à disposição para qualquer assistência extra que você possa precisar.
Atenciosamente,
Zeeshan Khadim
Chefe de Segurança