Site icon Sophos News

Violazione dei dati di Flipboard – ecco cosa dovrebbero fare gli utenti

Flipboard

Abbiamo scritto di molte violazioni dei dati negli ultimi anni, ma questa presenta un paio di risvolti che meritano di essere evidenziati.

Secondo Flipboard, gli hacker hanno ottenuto l’accesso ai dati tra il 2 giugno 2018 e il 23 marzo 2019, oltre a una breve finestra tra il 21 e il 22 aprile 2019.

Non è chiaro quanti utenti di Flipboard abbiano visto compromessi i loro dati. Dati rubati che riguardano nomi, nomi utente di Flipboard, indirizzi e-mail e password con hash.

La buona notizia è che le password sugli account creati dal 2012 sono state salate e sottoposte a hash con Bcrypt, il che dovrebbe rendere la vita molto difficile a chiunque cerchi di indovinare password sicure su qualsiasi scala. Purtroppo gli account creati prima del 14 marzo 2012 (e non modificati da allora) hanno utilizzato il meno sicuro SHA-1.

Password reset

La domanda sorge spontanea, “Dovrei cambiare la mia password?” Dice l’advisory di Flipboard:

Per precauzione, abbiamo reimpostato tutte le password degli utenti, anche se erano protette da crittografia e anche se ci risulta che non tutte le informazioni sull’account degli utenti fossero coinvolte.

Tuttavia, chiunque rimanga connesso (dal proprio smartphone, per esempio) non riceverà notifica della necessità di reimpostare la propria password a meno che non si disconnetta o tenti di accedere a Flipboard da un nuovo dispositivo.

Il nostro consiglio è di ignorare l’incertezza sul numero di utenti interessati e cambiare manualmente la password in qualcosa di sicuro il prima possibile. Se non avete mai modificato la vostra password da marzo 2012, questo diventa un must assoluto (la base di utenti di Flipboard si avvicinava ai 20 milioni in quel momento).

E, se c’è anche solo una remota possibilità che la vostra password di Flipboard venga riutilizzata su un altro sito, sarà necessario cambiarla anche su quello.

Accesso di terze parti

Una funzionalità di Flipboard disponibile dal 2015 circa è la possibilità di registrare rapidamente un nuovo account tramite Google, Facebook e Twitter utilizzando Single Sign-On (SSO). Questa è una preoccupazione, ha ammesso l’advisory di Flipboard:

I database [violati] potrebbero contenere token digitali utilizzati per connettere il vostro account Flipboard a quell’account di terze parti. Per precauzione, abbiamo sostituito o cancellato tutti i token digitali per eliminare ogni possibilità di uso improprio.

Prima che venissero modificati, gli hacker avrebbero potuto utilizzare questi token per:

Leggere o creare post e messaggi sull’account e accedere ad alcune informazioni sull’account utente, come nome utente, informazioni sul profilo, post sul sito e connessioni. In alcuni casi, questo accesso ha consentito anche la modifica di queste informazioni, ad esempio l’invito a nuove persone a connettersi.

La società ha dichiarato di non aver rilevato l’abuso di questi account ma il fatto che i token sono stati aggiornati significa che chiunque utilizzi SSO dovrà autorizzare di nuovo l’accesso tramite l’account (il processo per il quale varia a seconda che si utilizzi Android o iOS) ).

Cosa impedisce agli hacker di tornare?

Dopo quasi tutte le violazioni dei dati, le aziende promettono di rafforzare la sicurezza, senza spiegare cosa significhi. Non sorprende sapere che Flipboard sta facendo lo stesso:

Per evitare che qualcosa del genere accada in futuro, abbiamo implementato misure di sicurezza avanzate e continuiamo a cercare ulteriori modi per rafforzare la protezione dei nostri sistemi. Per motivi di riservatezza non condividiamo dettagli specifici.

Ciò che è preoccupante in questa violazione forse più del fatto che si sia verificata, è che poi sia passata inosservata per quasi 10 mesi, secondo i calcoli di Flipboard. Per gli hacker è un tempo più che sufficiente per sfruttare i dati rubati.

Per ulteriori informazioni e consigli da parte di Flipboard, consultate il suo articolo al riguardo.

 

 

Exit mobile version