线上客服系统Zendesk三年前被骇直到现在才发现，近万名使用者资料外泄

线上客服系统Zendesk周三发布公告，其系统于2016年11月遭骇，导致Zendesk Support及Chat将近万名注册用户个资遭到存取。

Zendesk是整合邮件、留言系统、即时通讯与Facebook粉丝专页的线上客服平台。它在9月24日被“第三方单位”通报“某个事件”，而获知系统于三年前被骇。公司目前正在调查，初步研判，线上客服支援系统Zendesk和通讯服务Chat，在2016年11月1日以前注册的用户个资遭到非授权存取，总数将近1万人，但强调其中包括已过期的试用账号及未再使用的账号。在此之后建立账号者，则不受影响。

外泄的用户个资包括Zendesk客服人员及用户的电子邮件、姓名、电话。该公司强调这些客服人员及用户的密码，都经过杂凑及加盐（salted）处理，也未发现这些密码有在这次事件中，被用来存取Zendesk服务。

Zendesk还发现有将近700名客户账号的验证资讯外流，包括Zendesk客户提供的TLS加密金钥及Zendesk app软件市集下载或私有app的组态设定，包括这些app用来验证第三方服务的整合金钥。Zendesk建议这些app用户应全部重设密码，且重新上传TLS凭证，并取消旧凭证。

Zendesk已通知受影响的客户，同时为了以防万一，将对所有Support和Chat客服，以及2016年11月1日以前建立账号的Support用户，进行密码轮换（password rotation）。用户下次登入会被要求重设密码。而和Support共用密码的所有其他产品，包括Guide、Talk、Explore也会受影响。

Zendesk说，虽然没有发现其他验证资料外泄，但建议2016年11 月以前注册的用户最好重设所有验证资料。Chat的API Token则可不必轮换。

Zendesk于2013年也曾发生过类似的资料外泄，还波及推特、Tumblr及Pinterest等其他服务。