Szerző: Hlács Ferenc

2019. május 29. 11:47:00

Minden felhasználójának jelszavát megváltoztatja a Flipboard

Illetéktelenek kilenc hónapon keresztül fértek hozzá a cég rendszereihez. A vállalat a külső szolgáltatásokhoz tartozó belépési tokeneket is törölte.

Fájdalmas biztonsági incidensbe futott bele a Flipboard: ahogy a népszerű hírolvasó alkalmazást fejlesztő vállalat tegnap beszámolt róla, rendszereihez ismeretlen támadók fértek hozzá - több mint kilenc hónapon keresztül. A vállalat az ügy felfedezését követően több millió felhasználójának jelszavát változtatta meg.

A Flipboard közleménye szerint illetéktelenek a 2018. június 2. és 2019. március 23. közötti periódusban, majd idén április 21-22-én is bejutottak rendszereibe, ahol a felhasználói fiókok adataihoz is hozzáfértek. A megszerzett információk tartalmazzák a felhasználóneveket, a megadott valós neveket, email címeket, illetve titkosított formában a belépéshez használt jelszavakat is. Utóbbiak kapcsán siet kiemelni, hogy egyszerű szövegként soha nem tárolt jelszavakat, a támadók így csak a hash-elt azonosítókat szerezhették meg. A 2012. március 14. után regisztrált felhasználóknál ezeket a cég bcrypttel titkosította, míg a korábban csatlakozóknál SHA-1-et használt. Noha a bcrypt jó védelmet nyújt, az SHA-1 már 2015-ben is ingatag lábakon állt - a Flipboard mindenesetre nem bízta a véletlenre a dolgot és minden felhasználójának jelszavát megváltoztatja.

flipbrd

Python everywhere! Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt bárhol és bárki használhatja.

Mindezek mellett veszélybe kerültek a Flipboarddal összekötött külső szolgáltatásokhoz használt belépési tokenek is, noha egyelőre a vállalat esetükben nem talált illetéktelen hozzáférési kísérletre utaló nyomot - a tokeneket azonban mind törölte. A cég azt is hangsúlyozza, fizetési adatokat vagy hasonlóan érzékeny információkat nem tárol felhasználóiról. Azt egyelőre nem tudni, a Flipboard mintegy 150 millió havi aktív felhasználójából pontosan hányat érintett közvetlenül a támadás. A vállalat egy külső biztonsági céggel közösen igyekszik felgöngyölíteni az ügyet, illetve a hatóságokat is értesítette a támadásról. Miután a vizsgálat egyelőre korai szakaszában jár, arról a Flipboard nem közölt információkat, hogy a támadók hogyan juthattak be rendszereibe.

Elővigyázatosságból a cég minden felhasználóját kötelezi a jelszóváltoztatásra: a már bejelentkezett fiókok változatlanul használhatók maradnak, új eszközön történő belépésnél vagy a kijelentkezést követően azonban friss jelszót kell majd megadniuk a felhasználóknak. A Flibboard csapata továbbá már most bevezetett több új védvonalat a rendszerhez, noha ezek részleteiről a cég nem beszélt.

Természetesen, ahogy minden hasonló esetnél, a felhasználóknak nem csak a Flipboardnál érdemes megváltoztatniuk jelszavukat, de minden olyan online szolgáltatásban is, ahol ugyanazt a jelszót használják. Persze a legjobb az azonosítók ilyen "újrahasznosítását" teljes egészében elkerülni, és inkább valamilyen jelszókezelő szolgáltatásra támaszkodni, amellyel minden fiókhoz biztonságos és egyedi jelszavak generálhatók.

a címlapról

bye-bye

5

Átalakul a Nokia menedzsmentje

2020. február 19. 13:44

Megszűnt a műszaki vezérigazgató-helyettesi pozíció, a cég próbál feljönni riválisaira.

Hirdetés

Python everywhere!

2020. február 20. 00:55

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.