Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Minden felhasználójának jelszavát megváltoztatja a Flipboard

Hlács Ferenc, 2019. május 29. 11:47

Illetéktelenek kilenc hónapon keresztül fértek hozzá a cég rendszereihez. A vállalat a külső szolgáltatásokhoz tartozó belépési tokeneket is törölte.

hirdetés

Fájdalmas biztonsági incidensbe futott bele a Flipboard: ahogy a népszerű hírolvasó alkalmazást fejlesztő vállalat tegnap beszámolt róla, rendszereihez ismeretlen támadók fértek hozzá - több mint kilenc hónapon keresztül. A vállalat az ügy felfedezését követően több millió felhasználójának jelszavát változtatta meg.

A Flipboard közleménye szerint illetéktelenek a 2018. június 2. és 2019. március 23. közötti periódusban, majd idén április 21-22-én is bejutottak rendszereibe, ahol a felhasználói fiókok adataihoz is hozzáfértek. A megszerzett információk tartalmazzák a felhasználóneveket, a megadott valós neveket, email címeket, illetve titkosított formában a belépéshez használt jelszavakat is. Utóbbiak kapcsán siet kiemelni, hogy egyszerű szövegként soha nem tárolt jelszavakat, a támadók így csak a hash-elt azonosítókat szerezhették meg. A 2012. március 14. után regisztrált felhasználóknál ezeket a cég bcrypttel titkosította, míg a korábban csatlakozóknál SHA-1-et használt. Noha a bcrypt jó védelmet nyújt, az SHA-1 már 2015-ben is ingatag lábakon állt - a Flipboard mindenesetre nem bízta a véletlenre a dolgot és minden felhasználójának jelszavát megváltoztatja.

flipbrd

Mindezek mellett veszélybe kerültek a Flipboarddal összekötött külső szolgáltatásokhoz használt belépési tokenek is, noha egyelőre a vállalat esetükben nem talált illetéktelen hozzáférési kísérletre utaló nyomot - a tokeneket azonban mind törölte. A cég azt is hangsúlyozza, fizetési adatokat vagy hasonlóan érzékeny információkat nem tárol felhasználóiról. Azt egyelőre nem tudni, a Flipboard mintegy 150 millió havi aktív felhasználójából pontosan hányat érintett közvetlenül a támadás. A vállalat egy külső biztonsági céggel közösen igyekszik felgöngyölíteni az ügyet, illetve a hatóságokat is értesítette a támadásról. Miután a vizsgálat egyelőre korai szakaszában jár, arról a Flipboard nem közölt információkat, hogy a támadók hogyan juthattak be rendszereibe.

Elővigyázatosságból a cég minden felhasználóját kötelezi a jelszóváltoztatásra: a már bejelentkezett fiókok változatlanul használhatók maradnak, új eszközön történő belépésnél vagy a kijelentkezést követően azonban friss jelszót kell majd megadniuk a felhasználóknak. A Flibboard csapata továbbá már most bevezetett több új védvonalat a rendszerhez, noha ezek részleteiről a cég nem beszélt.

Természetesen, ahogy minden hasonló esetnél, a felhasználóknak nem csak a Flipboardnál érdemes megváltoztatniuk jelszavukat, de minden olyan online szolgáltatásban is, ahol ugyanazt a jelszót használják. Persze a legjobb az azonosítók ilyen "újrahasznosítását" teljes egészében elkerülni, és inkább valamilyen jelszókezelő szolgáltatásra támaszkodni, amellyel minden fiókhoz biztonságos és egyedi jelszavak generálhatók.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.