Il team di Flipboard si trova ad affrontare le conseguenze di quello che viene definito un incidente di sicurezza. Uno o più soggetti hanno effettuato un accesso non autorizzato ai server della piattaforma per un periodo di oltre nove mesi, tra il giugno 2018 e il marzo 2019, perpetrando poi una seconda violazione a fine aprile. La spiegazione di quanto accaduto e un primo esito delle indagini in corso in una comunicazione riportata sul sito ufficiale.
Recentemente abbiamo identificato un accesso non autorizzato ad alcuni database contenenti determinate informazioni degli account degli utenti di Flipboard, incluse le credenziali dell’account … una persona non autorizzata ha eseguito l’accesso e ha ottenuto potenzialmente copie di alcuni database che contengono informazioni degli utenti Flipboard tra il 2 giugno 2018 e il 23 marzo 2019, e tra il 21 e il 22 aprile 2019.
Violato il database di Flipboard
Gli iscritti stanno ricevendo in queste ore un’email che li avvisa del problema. Tra le informazione potenzialmente finite nelle mani dei malintenzionati ci sono nome e cognome, username, password, indirizzo di posta elettronica e token impiegati per connettere l’account a piattaforme esterne come i social network.
Per quanto concerne i codici di sicurezza, Flipboard assicura di averli salvati all’interno dei database impiegando la crittografia: quelli creati o cambiati dopo il 14 marzo 2012 sono protetti dall’algoritmo bcrypt ritenuto parecchio difficile da aggirare, mentre per quelli non modificati dopo tale data è stato utilizzato il meno efficace SHA-1. Come mossa preventiva, il servizio sta comunque procedendo al reset di tutte le password e dei token. Detto questo, al momento non sono stati rilevati abusi.
Non abbiamo riscontrato alcuna prova che persone non autorizzate abbiano avuto accesso agli account di terzi connessi all’account Flipboard degli utenti. Come misura precauzionale abbiamo sostituito o cancellato tutti i token digitali.
Cambiare la password
Gli utenti possono continuare a connettersi a Flipboard dai dispositivi sui quali è già stato effettuato il login, mentre provando ad accedere da un nuovo device (o in seguito al logout) viene chiesta la creazione di una nuova password. La piattaforma comunica inoltre di aver reso noto l’episodio alle autorità di pubblica sicurezza e di aver implementato misure di sicurezza più robuste affinché episodi di questo tipo non si ripetano in futuro.
Scorrendo le risposte ad alcune domande frequenti si apprende che l’incidente è stato portato alla luce nella giornata del 23 aprile, in seguito a controlli eseguiti dal team di ingegneri per far luce su attività sospette. Ancora da stimare con esattezza il numero degli account compromessi.