Abbiamo scritto di molte violazioni dei dati negli ultimi anni, ma questa presenta un paio di risvolti che meritano di essere evidenziati.
Secondo Flipboard, gli hacker hanno ottenuto l’accesso ai dati tra il 2 giugno 2018 e il 23 marzo 2019, oltre a una breve finestra tra il 21 e il 22 aprile 2019.
Non e chiaro quanti utenti di Flipboard abbiano visto compromessi i loro dati. Dati rubati che riguardano nomi, nomi utente di Flipboard, indirizzi e-mail e password con hash.
La buona notizia e che le password sugli account creati dal 2012 sono state salate e sottoposte a hash con Bcrypt, il che dovrebbe rendere la vita molto difficile a chiunque cerchi di indovinare password sicure su qualsiasi scala. Purtroppo gli account creati prima del 14 marzo 2012 (e non modificati da allora) hanno utilizzato il meno sicuro SHA-1.
La domanda sorge spontanea, “Dovrei cambiare la mia password?” Dice l’advisory di Flipboard:
Per precauzione, abbiamo reimpostato tutte le password degli utenti, anche se erano protette da crittografia e anche se ci risulta che non tutte le informazioni sull’account degli utenti fossero coinvolte.
Tuttavia, chiunque rimanga connesso (dal proprio smartphone, per esempio) non ricevera notifica della necessita di reimpostare la propria password a meno che non si disconnetta o tenti di accedere a Flipboard da un nuovo dispositivo.
Il nostro consiglio e di ignorare l’incertezza sul numero di utenti interessati e cambiare manualmente la password in qualcosa di sicuro il prima possibile. Se non avete mai modificato la vostra password da marzo 2012, questo diventa un must assoluto (la base di utenti di Flipboard si avvicinava ai 20 milioni in quel momento).
E, se c’e anche solo una remota possibilita che la vostra password di Flipboard venga riutilizzata su un altro sito, sara necessario cambiarla anche su quello.
Una funzionalita di Flipboard disponibile dal 2015 circa e la possibilita di registrare rapidamente un nuovo account tramite Google, Facebook e Twitter utilizzando Single Sign-On (SSO). Questa e una preoccupazione, ha ammesso l’advisory di Flipboard:
I database [violati] potrebbero contenere token digitali utilizzati per connettere il vostro account Flipboard a quell’account di terze parti. Per precauzione, abbiamo sostituito o cancellato tutti i token digitali per eliminare ogni possibilita di uso improprio.
Prima che venissero modificati, gli hacker avrebbero potuto utilizzare questi token per:
Leggere o creare post e messaggi sull’account e accedere ad alcune informazioni sull’account utente, come nome utente, informazioni sul profilo, post sul sito e connessioni. In alcuni casi, questo accesso ha consentito anche la modifica di queste informazioni, ad esempio l’invito a nuove persone a connettersi.
La societa ha dichiarato di non aver rilevato l’abuso di questi account ma il fatto che i token sono stati aggiornati significa che chiunque utilizzi SSO dovra autorizzare di nuovo l’accesso tramite l’account (il processo per il quale varia a seconda che si utilizzi Android o iOS) ).
Dopo quasi tutte le violazioni dei dati, le aziende promettono di rafforzare la sicurezza, senza spiegare cosa significhi. Non sorprende sapere che Flipboard sta facendo lo stesso:
Per evitare che qualcosa del genere accada in futuro, abbiamo implementato misure di sicurezza avanzate e continuiamo a cercare ulteriori modi per rafforzare la protezione dei nostri sistemi. Per motivi di riservatezza non condividiamo dettagli specifici.
Cio che e preoccupante in questa violazione forse piu del fatto che si sia verificata, e che poi sia passata inosservata per quasi 10 mesi, secondo i calcoli di Flipboard. Per gli hacker e un tempo piu che sufficiente per sfruttare i dati rubati.
Per ulteriori informazioni e consigli da parte di Flipboard, consultate il suo articolo al riguardo.
4909 Murphy Canyon Road Suite, 500
San Diego, CA 92123
Store
Company
Support
Newsletter
