Категории

Прозрачность и обновления безопасности

Обновления безопасности 2025 года

В 2025 году мы сосредоточились на усилении безопасности медиафайлов и внедрении надежного управления разрешениями в нашей системе. Эти обновления обеспечивают более безопасную и контролируемую среду для управления пользовательским контентом и доступом.

Ключевые улучшения безопасности в 2025 году

  • Улучшенная безопасность медиафайлов

    • Автоматические протоколы удаления: Мы улучшили автоматизированные процессы для безопасного удаления медиафайлов после окончания их срока хранения. Это гарантирует, что ненужные файлы оперативно удаляются из наших систем.
    • Управляемое удаление файлов: Мы предоставили пользователям улучшенные возможности управления медиафайлами, включая возможность их ручного удаления.
    • Улучшенный мониторинг: Мы улучшили мониторинг доступа к файлам в режиме реального времени для обнаружения и реагирования на подозрительное поведение.

  • Улучшенные роли и разрешения

    • Улучшенные роли и разрешения для участников: Мы усовершенствовали и обезопасили систему разрешений для менеджеров команд и проектов.
    • Улучшенные журналы аудита: Все действия теперь детально записываются, обеспечивая прозрачность и ответственность.

  • Улучшенная коммуникация с пользователями по вопросам безопасности

    • «Есть вопросы? Сообщите нам»: Эта специальная секция на странице безопасности позволяет пользователям легко сообщать о любых вопросах безопасности, уязвимостях или оставлять отзывы напрямую нашей команде.

Обновления безопасности 2024 года

В 2024 году мы продолжили усиливать безопасность нашей платформы, внедряя передовые меры для обеспечения защиты, конфиденциальности и надежности наших услуг. Вот обзор ключевых улучшений безопасности, которые мы реализовали за этот год:

Ключевые улучшения безопасности в 2024 году

  • Сегрегация серверов базы данных для повышения безопасности

    Для дополнительной защиты пользовательских данных мы разделили серверы баз данных и серверы приложений. Это обеспечивает лучшую изолированность безопасности, минимизируя риск несанкционированного доступа и улучшая общую целостность системы.

  • Интеграция с Cloudflare для повышения безопасности

    Мы сотрудничаем с Cloudflare, ведущей платформой веб-безопасности и производительности, чтобы обеспечить дополнительный уровень защиты нашим сервисам. Эта интеграция предоставляет:

    • Веб-аппликационный фаервол (WAF): Блокирует вредоносный трафик и защищает от распространенных атак, таких как SQL-инъекции и межсайтовый скриптинг (XSS).
    • Защита от DDoS: Обеспечивает защиту платформы от атак распределенного отказа в обслуживании, обеспечивая непрерывный доступ для наших пользователей.
    • Безопасные TLS-соединения: Гарантируют шифрованное общение между нашими серверами и пользователями, улучшая конфиденциальность данных.
    • Глобальная сеть доставки контента (CDN): Повышает производительность веб-сайта за счет кэширования и предоставления контента с серверов, ближайших к пользователям.

Инцидент уязвимости безопасности в июне 2024 года

11 июня мы выявили потенциальную уязвимость, связанную с частью скриншотов, хранящихся на нашей платформе. Несмотря на отсутствие доказательств несанкционированного доступа или кражи данных, эта проблема подчеркнула необходимость усиления наших мер безопасности. Мы оперативно устранили уязвимость, чтобы обеспечить безопасность данных наших пользователей.

Хронология инцидента

  • Выявление уязвимости: 11 июня 2024 года

  • Первоначальное раскрытие: 13 августа 2024 года

  • Обращение в CERT: 9 октября 2024 года

  • Независимые исследователи подтвердили устранение уязвимости: 10 января 2025 года

Оценка воздействия

  • Тип вовлеченных данных: Подмножество скриншотов, загруженных пользователями.

  • Количество потенциально затронутых клиентов: Примерно 60.

  • Нет доказательств несанкционированного доступа: Наши расследования не выявили никаких случаев несанкционированного доступа, кражи или злоупотребления данными, связанными с этой уязвимостью.

Наш ответ

  • Мы сотрудничали с Владимиром 'Бобом' Диаченко, исследователем безопасности, который ответственно сообщил о проблеме.

  • CERT (Команда реагирования на компьютерные чрезвычайные ситуации) была уведомлена 9 октября 2024 года.

  • Мы реализовали краткосрочные и долгосрочные меры для устранения проблемы, включая:

    • Обеспечение защищенного доступа к затронутым скриншотам.

    • Усиление конфигурации Amazon S3.

    • Проведение тщательной проверки наших политик хранения и безопасности данных.

Благодарность

Мы выражаем признательность Владимиру 'Бобу' Диаченко за его ответственное сообщение и помощь в устранении уязвимости. Его проактивный подход был неоценим для быстрого разрешения проблемы.

Дальнейшие действия

Мы предприняли шаги для усиления наших практик безопасности и предотвращения будущих уязвимостей:

  • Провели всесторонний аудит безопасности всей системы.

  • Обновили протоколы обработки и безопасного хранения пользовательских данных.

  • Улучшили конфигурации серверов, облака, API и баз данных.

Мы остаемся привержены защите данных наших пользователей и соблюдению высочайших стандартов безопасности. Если у вас есть вопросы или опасения, пожалуйста сообщите нам здесь.

Обновления безопасности 2023 года

В 2023 году мы внедрили несколько значительных улучшений, чтобы усилить безопасность нашей платформы и услуг. Эти меры обеспечивают более надежный, защищенный и стабильный пользовательский опыт.

Ключевые улучшения безопасности в 2023 году

  • Улучшенные сертификаты подписания кода

    Мы обновили сертификаты подписания кода на расширенные сертификаты от DigiCert, всемирно доверенного центра сертификации. Это гарантирует безопасную подпись и проверку нашего программного обеспечения, предотвращая подделку или несанкционированные изменения.

  • Усиленная безопасность API

    Наши API прошли всестороннюю проверку безопасности:

    • Улучшенная аутентификация: Усилена токеновая аутентификация для предотвращения несанкционированного доступа.
    • Ограничение скорости запросов: Внедрены лимиты скорости, чтобы предотвратить злоупотребления и потенциальные атаки отказа в обслуживании.
    • Шифрование данных: Обеспечено сквозное шифрование для всех API-коммуникаций, защищая конфиденциальную информацию при передаче.