Обновление от 28 мая 2019 г.
Недавно сервис Flipboard выявил и устранил инцидент, связанный с нарушением обеспечения безопасности поднабора пользовательских данных. Мы знаем, что прозрачность имеет важное значение для нашего сообщества, и мы создали данную страницу, чтобы поделиться информацией о результатах нашего расследования, о предпринятых нами мерах, а также о том, какие ответные шаги могут предпринять пользователи.
Что именно произошло
Недавно мы выявили факт несанкционированного доступа к некоторым из наших баз данных, содержащих информацию об учетных данных пользователей, включая учетные реквизиты. По обнаруженному факту было незамедлительно начато расследование, к которому была привлечена внешняя фирма, специализирующаяся в области обеспечения безопасности. В результате расследования выяснилось, что в период со 2 июня 2018 года по 23 марта 2019 года, и 21 – 22 апреля 2019 года не имеющее соответствующих полномочий лицо получило доступ к некоторым базам данных, содержащим информацию пользователей сервиса Flipboard, а также, возможно, получило копии этих баз данных.
Какая информация была затронута
В затронутых базах данных содержалась информация учетных данных некоторых из наших пользователей, включая ФИО, имя пользователя сервиса Flipboard, криптографически защищенный пароль и адрес электронной почты.
Flipboard всегда защищал пароли криптографически, используя методику, известную специалистам по безопасности как “salted hashing” (соленое хеширование). Польза от хеширования паролей заключается в том, что у нас не возникает необходимости хранить пароли в виде простого текста. Более того, использование уникальной «соли» для каждого пароля в сочетании с алгоритмами хеширования в очень большой степени затрудняет взлом паролей и требует значительных компьютерных ресурсов. Если пользователи создали или меняли свой пароль после 14 марта 2012 года, он хеширован с помощью функции, которая называется bcrypt. Если пользователи свой пароль с тех пор не меняли, он уникально засолен и хеширован с помощью (усиленного алгоритма хеширования) SHA-1.
Кроме того, если пользователь подсоединил свою учетную запись в сервисе Flipboard к внешней учетной записи, включая учетные записи в соцсетях, тогда, возможно, в базах данных содержались цифровые маркеры, используемые для подсоединения их учетной записи в Flipboard к внешней учетной записи. Мы не обнаружили каких-либо свидетельств доступа неуполномоченных лиц к внешней(им) учетной(ым) записи(ям), подсоединенной(ым) к учетным записям пользователей сервиса Flipboard. В качестве меры предосторожности мы заменили или стерли все цифровые маркеры, чтобы устранить возможность неправомерного использования.
Важно то, что мы не получаем от пользователей – и этот инцидент не коснулся – номеров социального обеспечения или иных удостоверяющих личность документов, выданных госорганами, информацию в отношении банковских счетов, кредитных карт или иную финансовую информацию.
Что мы делаем
В качестве меры предосторожности мы заменили пароли всех пользователей, хотя пароли и были криптографически защищены, и инцидент не коснулся информации учетных записей всех пользователей. Вы можете продолжать пользоваться сервисом Flipboard на устройствах, с которых вы уже выполнили вход с использованием своей учетной записи. Совершая вход в сервис Flipboard с нового устройства, или в следующий раз, когда вы будете совершать вход в свой аккаунт сервиса Flipboard после того, как выйдете из него, вам предложат создать новый пароль.
В качестве дополнительной меры предосторожности мы отсоединили все маркеры, используемые для подключения ко всем внешним учетным записям, и – в сотрудничестве с нашими партнерами – либо заменили все цифровые маркеры, либо стерли их, там, где это требовалось.
Кроме того, с целью предотвращения возникновения подобных инцидентов в будущем, мы ввели расширенные меры безопасности и продолжаем изыскивать способы укрепления безопасности наших систем. Мы также уведомили правоохранительные органы.
Что вы можете делать
Вы можете продолжать пользоваться сервисом Flipboard, не предпринимая каких-либо дополнительных действий. При этом, когда вы будете в следующий раз входить в систему, то увидите, что ваш пароль Flipboard необходимо обновить. Инструкции по созданию нового пароля размещены на странице поддержки (ссылка ниже). Также, если вы пользуетесь тем же именем пользователя и паролем, созданными вами для сервиса Flipboard, для входа в иные интернет-службы, мы рекомендуем вам там также изменить пароль.
Если вы подсоединили свою учетную запись в сервисе Flipboard к учетной записи третьей стороны с целью получения доступа к ее контенту, вы, возможно, столкнетесь с необходимостью повторного подсоединения. На нашей странице поддержки вы найдете соответствующие инструкции.
Где найти дополнительную информацию?
Мы глубоко сожалеем, что этот инцидент имел место. В качестве дополнительной информации, ниже мы предоставляем ответы на часто задаваемые вопросы об инциденте. Если вам нужна дополнительная помощь, просим выбрать опцию Contact (свяжитесь с нами) в нашем справочном центре (Help Center).
===
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
Затронул ли инцидент мои пользовательские данные в сервисе Flipboard?
Инцидент не затронул пользовательские данных всех пользователей сервиса Flipboard. Мы продолжаем заниматься выявлением учетных записей, затронутых инцидентом, и, в качестве меры предосторожности, изменили пароли всех пользователей, а также заменили или удалили все цифровые маркеры.
Какого рода информация могла быть затронута в ходе данного инцидента?
В затронутой базе данных содержались следующие виды информации:
- Имена пользователей;
- Хешированные и уникально засоленные пароли; и
- Применительно к некоторым пользователям сервиса Flipboard: адреса электронной почты и цифровые маркеры, увязывающие внешние учетные записи с учетной записью в сервисе Flipboard.
Подавляющее большинство паролей были хешированы утилитой, которая называется bcrypt. В отношении пользователей Flipboard, которые не входили в собственную учетную запись в системе с 14 марта 2012 года, пароли были защищены алгоритмом SHA-1 и уникально засолены.
В затронутых базах данных, возможно, содержались цифровые маркеры, использовавшиеся для подсоединения учетных записей в сервисе Flipboard к внешним учетным записям, включая учетные записи в социальных сетях, если подобные подсоединения были вами произведены. В качестве меры предосторожности мы заменили или стерли все цифровые маркеры, чтобы устранить любую возможность ненадлежащего использования или злоупотребления.
Следует отметить, что Flipboard не получает от пользователей такие данные, как удостоверения личности, выданные госорганами (например, номер социального страхования или номер водительского удостоверения), данные банковских карточек, банковских счетов или иную финансовую информацию. Сведения такого рода не были затронуты в ходе возникшего инцидента.
Что вы сделали, чтобы предотвратить аналогичный инцидент в будущем?
Чтобы предотвратить аналогичные инциденты в будущем, мы предприняли меры по усилению безопасности и продолжаем изыскивать дополнительные способы укрепления безопасности наших систем. Конкретные детали мы не предоставляем по соображениям безопасности.
Что такое хешированный пароль?
При хешировании пароля последний превращается в произвольно выглядящий набор букв и символов. Это достигается за счет использования криптографических алгоритмов. Хеширование — это вычислительно необратимая функция, которую невозможно расшифровать специальным ключом. Кроме того, использование уникальной соли для каждого пароля в сочетании с алгоритмами хеширования существенно затрудняет взлом паролей и требует значительных компьютерных ресурсов.
Что такое “bcrypt”?
Bcrypt – это адаптивный механизм хеширования паролей, в котором используется криптографический алгоритм с блочным шифрованием и другие средства защиты, включая многочисленные прогоны вычислительных операций, результатом чего является расширенная защита от взлома паролей.
Что такое «засол паролей»?
Добавление «соли» к хешированному паролю обеспечивает дополнительный уровень защиты, а а именно –защиты от атаки методом «грубой силы». Сервис Flipboard использует уникальные соли для каждого пользователя.
Что такое цифровой маркер?
Пользователи сервиса Flipboard могут подсоединять свои учетные записи в Flipboard к своим внешним учетным записям, включая учетные данные в соцсетях и издательских организациях. При таком подключении создается цифровой маркер. Цифровой маркер устанавливает уникальную связь между учетной записью пользователя сервиса Flipboard и учетной записью в соцсетях, позволяющую пользователям отслеживать контент третьих сторон в системе Flipboard. В некоторых случаях пользователи также получают возможность комментировать или делиться статьями из Flipboard на своих внешних учетных записях. Сотрудники сервиса Flipboard заменили или устранили цифровые маркеры всех своих пользователей, поскольку некоторые из таких маркеров содержались в затронутых базах данных. Пользователям Flipboard, возможно, потребуется повторно аутентифицировать или повторно подсоединить свою учетную запись в сервисе Flipboard, создать новый цифровой маркер и снова получить возможность видеть контент с таких учетных записей.
Когда вы узнали об этом инциденте?
23 апреля 2019 года наша техническая служба выявила несанкционированную активность, имевшую место 21-22 апреля 2019 года. На тот момент мы расследовали подозрительную активность, имевшую место 23 марта 2019 года.
Как вы узнали об инциденте?
Нашей технической службе стало известно об инциденте после того, как была выявлена подозрительная активность в среде размещения этих баз данных.
Затронуло ли это все пользовательские учетные записи сервиса Flipboard?
Нет. Инцидент не затронул учетные записи всех пользователей сервиса Flipboard. Тем не менее, в качестве меры предосторожности, мы изменили пароли всех пользователей. Если у вас имеется учетная запись в сервисе Flipboard, вам было направлено уведомление по электронной почте от сервиса Flipboard на адрес, связанный с вашей учетной записью в сервисе Flipboard. Данное электронное сообщение содержало тему «Уведомление об инциденте, связанном с нарушением безопасности службы Flipboard» (“Flipboard Security Notice”).
Сколько учетных записей было затронуто?
Мы все еще определяем общее число. Нам уже известно, что взломаны были не все учетные записи.
Если я пользуюсь системами Twitter/Google/Samsung/Facebook для входа в свою учетную запись в сервисе Flipboard, могу ли я продолжать это делать? Нужно ли мне изменить пароль?
Если вы пользуетесь системами Twitter/Google/Samsung/Facebook для регистрации в вашей учетной записи в Flipboard, то вы можете продолжать это делать. Ваш пароль не хранится в нашей базе данных. Мы также выполнили ротацию цифровых маркеров.
Сообщили ли вы о данном инциденте в правоохранительные органы?
Да, мы уведомили правоохранительные органы.
Если мои данные были затронуты, подвергаюсь ли я риску? Могли ли быть похищены мои персональные данные?
Сервис Flipboard не получает от пользователей такие данные, как номера социального обеспечения или иных удостоверяющих личность документов, выданных госорганами, информацию в отношении банковских счетов, кредитных карт или иную финансовую информацию. Сведения такого рода не были затронуты в ходе возникшего инцидента.
В качестве меры предосторожности мы рекомендуем вам изменить пароль, который вы используете для других учетных записей, если он идентичен вашему паролю в сервисе Flipboard или похож на него. Вам следует регулярно менять все пароли и не пользоваться идентичными или аналогичными паролями для учетных записей различных интернет-служб.
Могут ли цифровые маркеры быть использованы для получения доступа к моим внешним учетным записям?
Сервис Flipboard заменил или стер все цифровые маркеры. Эти маркеры более недействительны и, следовательно, не могут быть использованы ненадлежащим образом. Доступ, который неуполномоченное лицо, возможно, получило к внешним учетным записям, увязанным с учетными записями в Flipboard до замены или устранения этих цифровых маркеров, варьируется в зависимости от вида увязанной учетной записи, а также от разрешений, выданных пользователем в процессе привязки ее к его учетной записи в Flipboard.,Возможно, в результате такого доступа, неуполномоченное лицо могло читать, делать посты или посылать сообщения в учетной записи, а также получить доступ к некоторым учетным данным пользователя, таким как имя пользователя, профильная информация, посты на сайте или контакты. В некоторых случаях такой доступ также позволял внести изменения в данную информацию, например рассылать приглашения для установления контакта. Мы не обнаружили свидетельств того, что данное неуполномоченное лицо получило доступ к внешней(им) учетной(ым) записи(ям), подсоединенной(ым) к вашим учетным записям в сервисе Flipboard.
Безопасно ли продолжать пользоваться моей учетной записью в сервисе Flipboard?
Да. Мы изменили пароли всех пользователей и устранили все цифровые маркеры, связанные с учетными записями пользователей, поэтому вы можете безопасно продолжать пользоваться сервисом Flipboard.
Когда вы попытаетесь войти в свою учетную запись в сервисе Flipboard, вы обнаружите, что ваш пароль недействителен. Если для входа в свою учетную запись в сервисе Flipboard вы используете адрес электронной почты, мы направили вам электронное сообщение с инструкциями для создания нового пароля и повторной увязки с вашими учетными записями в соцсетях.
Если для входа в Flipboard вы пользуетесь системами Twitter, Facebook, Samsung и Google, ваш процесс регистрации по-прежнему защищен и безопасен, и пароль менять не требуется.
Как мне изменить пароль?
Если вы в Сети, пароль можно изменить по следующему адресу https://accounts.flipboard.com/. Просим обратить внимание, что для изменения пароля вам потребуется зайти в адрес электронной почты, связанный с вашей учетной записью в сервисе Flipboard.
При пользовании мобильным устройством, выполните следующие шаги в приложении Flipboard:
Для телефонов Android:
- Со страницы регистрации выберите Get Started (начать), затем Login (войти) в верхнем правом углу;
- Выберите Email (ел. почта) и напечатайте ваш адрес электронный почты, связанный с сервисом Flipboard
- Выберите Forgot username or password? (забыли имя пользователя или пароль) чтобы открыть страницу Account Help (помощь с учетной записью);
- Выберите Forgot Password? (забыли пароль?);
- Введите адрес эл. почты для вашей учетной записи;
- Нажмите опцию Send (отправить).
Для телефонов Apple:
- Со страницы регистрации выберите Login (войти) в правом верхнем углу, затем Log in with Email (войти через адрес эл. почты);
- Выберите Forgot your password? (забыли пароль?) чтобы открыть страницу Account Help (помощь с учетной записью);
- Выберите Forgot Password? (забыли пароль?);
- Введите адрес эл. почты для вашей учетной записи;
- Нажмите опцию Send (отправить).
Для планшетов Apple iPad:
- Начните, выбрав Already have an account? Log In (уже есть учетная запись? Войти );
- Выберите Need Help? (нужна помощь?), чтобы открыть страницу Account Help (помощь с учетной записью);
- Выберите Forgot Password? (забыли пароль?);
- Введите адрес эл. почты для вашей учетной записи;
- Нажмите опцию Send (отправить).
Для планшетов Android:
- Начните, выбрав Existing account? (существующая учетная запись?). Tap to log in (нажмите, чтобы войти);
- Выберите Email (эл. почта), и напечатайте ваш адрес электронный почты, связанный с сервисом Flipboard;
- Выберите Forgot username or password? (забыли имя пользователя или пароль) чтобы открыть страницу Account Help (помощь с учетной записью);
- Выберите Forgot Password? (забыли пароль?);
- Введите адрес эл. почты для вашей учетной записи;
- Нажмите опцию Send (отправить).
Измените пароль в ближайшее время, поскольку данная ссылка через какое-то время перестанет действовать. Если ссылка для изменения пароля более не действует, направьте нам электронное сообщение об изменении пароля. Рекомендуем вам время от времени обновлять пароль, чтобы обеспечить безопасность учетной записи.
Если вам нужна дополнительная помощь, выберите Contact Us (Свяжитесь с нами) на странице Account Help (помощь с учетной записью) или направьте нам электронное сообщение по данной ссылке here (здесь).
Как мне повторно увязать мою учетную запись в сервисе Flipboard с моими учетными записями в соцсетях?
Сервис Flipboard заменил или стер цифровые маркеры всех пользователей, поскольку некоторые из этих маркеров содержались в затронутых базах данных. В большинстве случаев это не повлияет на ваш доступ, но есть вероятность того, что вам потребуется повторно произвести увязку, чтобы просматривать ваш канал.
Как повторно подсоединить вашу учетную запись в соцсетях к приложению Flipboard для iOS:
- Нажмите на закладку Following;
- Выберите Accounts (аккаунты);
- Выберите службу, к которой хотите повторно подсоединиться;
- Введите реквизиты доступа к вашей учетной записи в соцсети.
Примечание: на планшете iPad, нажмите “Red Ribbon” (красная лента) > выберите Following > выберите Accounts (учетные записи).
Как повторно подсоединить вашу учетную запись в соцсетях к сервису Flipboard для Android:
- Нажмите на закладку Profile (профиль);
- Нажмите Settings (настройки);
- Выберите Accounts (аккаунты);
- Выберите службу, к которой хотите повторно подсоединиться;
- Введите реквизиты доступа к вашей учетной записи в соцсети.
Примечание: на планшете Android откройте профильную страницу > нажмите Settings (настройки) > выберите Accounts (аккаунты).
Теперь вы начали новую сессию в вашей учетной записи в соцсети и можете вернуться к использованию ее в обычном режиме. Если вам нужна дополнительная помощь, выберите Contact (свяжитесь с нами) в нашем Help Center (справочный центр).
Нужно ли мне изменить пароли в моих других учетных записях?
Ваш пароль в сервисе Flipboard был криптографически защищен. При этом, руководствуясь соображениями осторожности, рекомендуем изменить пароли на всех других сайтах и в учетных записях, где вы пользуетесь теми же реквизитами доступа. Оптимальная практика – использовать уникальный пароль для каждой интернет-службы.
Как убедиться в том, что уведомление по электронной почте получено мною именно от службы Flipboard?
Необходимо, чтобы вы были уверены в том, что уведомление по электронной почте, которое вы, возможно, получите, пришло именно от службы Flipboard. Такое электронное сообщение поступит с электронного адреса security-notification@flipboard.com. Проявите бдительность: когда другие компании направляли подобные уведомления, некоторые лица пытались использовать их с тем, чтобы обманным путем побудить пользователей предоставить свою личную информацию через ссылки на ложные вебсайты (фишинг), или представляясь кем-то, кто пользуется доверием получателей (социальная инженерия). Просим иметь в виду, что в полученном вами от нас электронном сообщении, не будет вложений и просьб о предоставлении вашей личной информации, а все ссылки будут возвращать вас на данную интернет-страницу.