Flipboard היא החברה האחרונה שנפלה על הפרת נתונים.

אפליקציית צבירת החדשותהכריז בפוסטכי היא זיהתה גישה לא מורשית לחלק מהמערכות הפנימיות שלה, שהכילו חלק מהחשבונות והאישורים של משתמשי Flipboard.

במשך יותר מתשעה חודשים הייתה לאדם הבלתי מורשה גישה למערכות של Flipboard, שיכולה להשיג עותקים של מסדי נתונים אשר אירחו מידע של משתמשים.

עדיין לא ברור כמה משתמשים הושפעו מההפרה, אך חקירה שהוזמנה על ידי החברה גילתה שהייתה גישה לא מורשית בין יוני 2018 לאפריל 2019.

סיסמאות אופסו, רובן מאובטחות

בעוד שהמידע על מסדי הנתונים הללו כלל את שמם, שם משתמש Flipboard וכתובת דואר אלקטרוני, הסיסמאות היו מוגנות קריפטוגרפית באמצעות אלגוריתם שנקרא bcrypt.

האלגוריתם מוסיף סט ייחודי ואקראי של תווים בשםמלח, נוסף על הגיבוב הרגיל של הסיסמה, שבה היא מקושקשת כדי להקשות על ההבנה. זה הופך את הסיסמאות לקשות מאוד לפיצוח, ודורש כוח מחשוב משמעותי לשם כך.

סיסמאות שהוגדרו לפני 14 במרץ 2012 עברו גיבוב והמלח באמצעות אלגוריתם בשם SHA-1, פונקציה שנעשתה בעבר בשימוש נרחב כיוםמיושן מזמןבתחום אבטחת האינטרנט.

Flipboard אמר שכל סיסמאות המשתמש אופסו לאור ההפרה, למרות שרק חלק מהמשתמשים הושפעו מהאירוע.

אין גישה לחשבונות של צד שלישי

החברה גם אמרה שבסיס הנתונים הפנימי שלה הכיל אסימונים דיגיטליים. אלה אפשרו ל-Flipboard ולצד שלישי להתחבר, למשל כאשר משתמש מקשר את חשבון Flipboard שלו לפלטפורמות מדיה חברתית כמו פייסבוק או טוויטר.

זה איפשר למשתמשים לראות תוכן מחשבונות צד שלישי אלה (כלומר להפוך את פיד החדשות של פייסבוק לקריא ב-Flipboard), כמו גם להגיב או לשתף מאמרים. החברה אמרה שהיא לא ראתה גישה לא מורשית לחשבונות צד שלישי.

"לא מצאנו ראיות לכך שהאדם הבלתי מורשה ניגש לחשבונות צד שלישי המחוברים לחשבונות Flipboard של משתמשים. כאמצעי זהירות, החלפנו או מחקנו את כל האסימונים הדיגיטליים", נכתב בפוסט.

"חשוב לציין, אנחנו לא אוספים ממשתמשים, והאירוע הזה לא כלל מספרי תעודת זהות או תעודות זהות אחרות שהונפקו על ידי הממשלה, חשבון בנק, כרטיס אשראי או מידע פיננסי אחר".

Flipboard אמרה שהיא כבר הודיעה לרשויות אכיפת החוק על התקרית, שגילתה ב-23 באפריל.

עבור משתמשים, הם יתבקשו לשנות את הסיסמה שלך בפעם הבאה בכניסה, וחלק יתבקשו להתחבר מחדש לשירותי צד שלישי שהיו מקושרים בעבר ל- Flipboard.