Récapitulatif de l’incident
Le 30 août, nous avons été avertis d’un incident de sécurité avec les liens dans les emails d’invitation, qui pouvait potentiellement permettre à des utilisateurs de se connecter à la place d’autres utilisateurs (rapport d’incident sur notre page de statut).
Résolution de l’incident
Nous avons déployé une correction mercredi 1er septembre, ce qui a entraîné :
- la suppression de la faille de sécurité des emails d’invitation ;
- la désactivation des liens d’invitation envoyés avant la correction.
Cet incident concerne uniquement les notifications mail pour rejoindre une plateforme, envoyées aux nouveaux utilisateurs (voir Ajouter des utilisateurs dans la plateforme). Les autres notifications, telles que les invitations aux sessions pour les utilisateurs existants, ne sont pas affectées.
Action supplémentaire
Nous conseillons aux administrateurs d’envoyer une relance aux utilisateurs invités à la plateforme avant le déploiement de la correction du 1er septembre, car le lien contenu dans leur email ne fonctionne plus.
Pour envoyer une relance avec le nouveau lien :
- Allez dans les paramètres de votre groupe
- Cliquez sur la section
UTILISATEURS
Dans la colonne de gauche, cliquez sur Invitations>Envoyées
Cliquez sur RELANCER LES INSCRITS, ou sur Renvoyer l’invitation (flèche en forme de rond à droite du nom d’un utilisateur)
Vous pouvez également contacter notre équipe Support pour toute question.