Minden felhasználójának jelszavát megváltoztatja a Flipboard
Illetéktelenek kilenc hónapon keresztül fértek hozzá a cég rendszereihez. A vállalat a külső szolgáltatásokhoz tartozó belépési tokeneket is törölte.
Fájdalmas biztonsági incidensbe futott bele a Flipboard: ahogy a népszerű hírolvasó alkalmazást fejlesztő vállalat tegnap beszámolt róla, rendszereihez ismeretlen támadók fértek hozzá - több mint kilenc hónapon keresztül. A vállalat az ügy felfedezését követően több millió felhasználójának jelszavát változtatta meg.
A Flipboard közleménye szerint illetéktelenek a 2018. június 2. és 2019. március 23. közötti periódusban, majd idén április 21-22-én is bejutottak rendszereibe, ahol a felhasználói fiókok adataihoz is hozzáfértek. A megszerzett információk tartalmazzák a felhasználóneveket, a megadott valós neveket, email címeket, illetve titkosított formában a belépéshez használt jelszavakat is. Utóbbiak kapcsán siet kiemelni, hogy egyszerű szövegként soha nem tárolt jelszavakat, a támadók így csak a hash-elt azonosítókat szerezhették meg. A 2012. március 14. után regisztrált felhasználóknál ezeket a cég bcrypttel titkosította, míg a korábban csatlakozóknál SHA-1-et használt. Noha a bcrypt jó védelmet nyújt, az SHA-1 már 2015-ben is ingatag lábakon állt - a Flipboard mindenesetre nem bízta a véletlenre a dolgot és minden felhasználójának jelszavát megváltoztatja.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Mindezek mellett veszélybe kerültek a Flipboarddal összekötött külső szolgáltatásokhoz használt belépési tokenek is, noha egyelőre a vállalat esetükben nem talált illetéktelen hozzáférési kísérletre utaló nyomot - a tokeneket azonban mind törölte. A cég azt is hangsúlyozza, fizetési adatokat vagy hasonlóan érzékeny információkat nem tárol felhasználóiról. Azt egyelőre nem tudni, a Flipboard mintegy 150 millió havi aktív felhasználójából pontosan hányat érintett közvetlenül a támadás. A vállalat egy külső biztonsági céggel közösen igyekszik felgöngyölíteni az ügyet, illetve a hatóságokat is értesítette a támadásról. Miután a vizsgálat egyelőre korai szakaszában jár, arról a Flipboard nem közölt információkat, hogy a támadók hogyan juthattak be rendszereibe.
Elővigyázatosságból a cég minden felhasználóját kötelezi a jelszóváltoztatásra: a már bejelentkezett fiókok változatlanul használhatók maradnak, új eszközön történő belépésnél vagy a kijelentkezést követően azonban friss jelszót kell majd megadniuk a felhasználóknak. A Flibboard csapata továbbá már most bevezetett több új védvonalat a rendszerhez, noha ezek részleteiről a cég nem beszélt.
Természetesen, ahogy minden hasonló esetnél, a felhasználóknak nem csak a Flipboardnál érdemes megváltoztatniuk jelszavukat, de minden olyan online szolgáltatásban is, ahol ugyanazt a jelszót használják. Persze a legjobb az azonosítók ilyen "újrahasznosítását" teljes egészében elkerülni, és inkább valamilyen jelszókezelő szolgáltatásra támaszkodni, amellyel minden fiókhoz biztonságos és egyedi jelszavak generálhatók.