Öryggisuppfærsla
Í framahaldi fyrri upplýsinga um öryggisveikleika sem sendar voru 5. ágúst síðast liðinn á þá sem málið varðar.
Eins og kom fram í fyrri tilkynningu uppgötvaðist öryggisveikleiki við úttekt öryggisfyrirtækis sem framkvæmd var í samráði við og með samþykki Hugvits. Úttektinni var beinlínis ætlað að leita veikleika þannig að hægt væri að komast fyrir þá. Hugvit lokaði umræddum öryggisveikleika án tafar, innan tveggja klst. frá tilkynningu, í samræmi við skilgreinda ferla fyrirtækisins til að bregðast við öryggisveikleikum (sem eru samkvæmt ISO 27001). Öryggisveikleikanum var lokað strax 5. ágúst sl.
Veikleikinn sneri eingöngu að framkvæmd PDF-umbreytinga, sem er valkvæð viðbótar þjónusta við GoPro Foris kerfið, en hafði ekkert að gera með aðgang að gagnasöfnum eða málum. Veikleikinn var því ekki í GoPro Foris kerfinu, heldur afmarkaðri hliðarþjónustu, utan þess.
Frumgreining Hugvits liggur fyrir og ekkert bendir til að neinn óviðkomandi aðili hafi nýtt sér veikleikann eða fengið aðgengi að neinum gögnum, neinna viðskiptavina.
Til að taka af öll tvímæli lágu engin gögn aðgengileg ytri notendum og engin gögn voru geymd á viðkomandi umbreytingarþjónustu. Þó var mögulegt að „hakkarar“ með þekkingu hefðu getað komið fyrir á vélinni hugbúnaði og hugsanlega náð að veiða takmörkuð gögn sem voru í umbreytingu á þeim ákveðna tíma. Greining okkar sýnir að það átti sér ekki stað.
Við höfum um margra mánaða skeið verið að þróa nýja útfærslu á PDF umbreytingu í GoPro Foris, sem framkvæmir umbreytingu innan kerfisins notanda. Við gerum ráð fyrir að sú útgáfa fari í takmarkaða dreifingu á næstu vikum.
Þrátt fyrir að engar vísbendingar séu um að öryggisveikleikinn hafi verið nýttur, hefur Hugvit fundað með Persónuvernd vegna hans.
Við biðjumst velvirðingar á þeim óþægindum sem þetta kann að valda okkar viðskiptavinum. Við munum áfram halda áfram að vinna að því að tryggja öryggi okkar og ykkar kerfa í samræmi við okkar stjórnkerfis upplýsingaöryggis (ISO 27001:2013).
