Í framahaldi fyrri upplýsinga um öryggisveikleika sem sendar voru 5. ágúst síðast liðinn á þá sem málið varðar.
Eins og kom fram í fyrri tilkynningu uppgötvaðist öryggisveikleiki við úttekt öryggisfyrirtækis sem framkvæmd var í samráði við og með samþykki Hugvits. Úttektinni var beinlínis ætlað að leita veikleika þannig að hægt væri að komast fyrir þá. Hugvit lokaði umræddum öryggisveikleika án tafar, innan tveggja klst. frá tilkynningu, í samræmi við skilgreinda ferla fyrirtækisins til að bregðast við öryggisveikleikum (sem eru samkvæmt ISO 27001). Öryggisveikleikanum var lokað strax 5. ágúst sl.
Veikleikinn sneri eingöngu að framkvæmd PDF-umbreytinga, sem er valkvæð viðbótar þjónusta við GoPro Foris kerfið, en hafði ekkert að gera með aðgang að gagnasöfnum eða málum. Veikleikinn var því ekki í GoPro Foris kerfinu, heldur afmarkaðri hliðarþjónustu, utan þess.
Frumgreining Hugvits liggur fyrir og ekkert bendir til að neinn óviðkomandi aðili hafi nýtt sér veikleikann eða fengið aðgengi að neinum gögnum, neinna viðskiptavina.
Til að taka af
öll tvímæli lágu engin gögn aðgengileg ytri notendum og engin gögn voru geymd á
viðkomandi umbreytingarþjónustu. Þó var mögulegt að „hakkarar“ með þekkingu
hefðu getað komið fyrir á vélinni hugbúnaði og hugsanlega náð að veiða
takmörkuð gögn sem voru í umbreytingu á þeim ákveðna tíma. Greining okkar sýnir
að það átti sér ekki stað.
Við höfum um margra mánaða
skeið verið að þróa nýja útfærslu á PDF umbreytingu í GoPro Foris, sem
framkvæmir umbreytingu innan kerfisins notanda. Við gerum ráð fyrir að sú
útgáfa fari í takmarkaða dreifingu á næstu vikum.
Þrátt fyrir að engar
vísbendingar séu um að öryggisveikleikinn hafi verið nýttur, hefur Hugvit
fundað með Persónuvernd vegna hans.
Við biðjumst
velvirðingar á þeim óþægindum sem þetta kann að valda okkar
viðskiptavinum. Við munum áfram halda áfram að vinna að því að tryggja
öryggi okkar og ykkar kerfa í samræmi við okkar stjórnkerfis upplýsingaöryggis
(ISO 27001:2013).