C’è stato un accesso non autorizzato a Flipboard durato diversi mesi, riporta l’azienda con una nota ufficiale, a diversi database contenenti dati degli utenti come nome reale, password protette da crittografia e l’indirizzo email. Appena scoperto Flipboard ha avviato le indagini: una persona non autorizzata ha eseguito l’accesso e ha ottenuto potenzialmente copie di alcuni database che contengono informazioni degli utenti tra il 2 giugno 2018 e il 23 marzo 2019, e tra il 21 e il 22 aprile 2019.
L’aggregatore di notizie, usato da 150 milioni d utenti al mese, ci tiene a sottolineare di aver sempre protetto crittograficamente le password, utilizzando una tecnica chiamata dagli esperti nel settore sicurezza come “salted hashing”. Questa offre il vantaggio di non dover salvare le password in semplice formato testo, oltre a rendere più difficile decifrare le password crittografate. In particolare, si legge:
Se gli utenti hanno creato o cambiato la password dopo il 14 marzo 2012, questa è stata cifrata con una funzione che si chiama bcrypt. Se non è stata cambiata la password dopo tale data, essa era stata cifrata con salt unico SHA-1.
Sono state resettate in via precauzionale le password degli utenti, anche se la società parla di “sottogruppo di dati degli utenti” coinvolti. Attualmente non si conosce esattamente quanti account siano coinvolti, né i responsabili della violazione. C’è poi il problema degli account connessi con servizi di terze parti come ad esempio i social media:
Se gli utenti hanno connesso il loro account Flipboard ad uno di terze parti, inclusi account social media, nei database potevano essere presenti token digitali, usati per connettere il loro account Flipboard a tale account di terzi. Non abbiamo riscontrato alcuna prova che persone non autorizzate abbiano avuto accesso agli account terzi connessi all’account Flipboard degli utenti. Come misura precauzionale abbiamo sostituito o cancellato tutti i token digitali. Sottolineiamo che non raccogliamo dagli utenti i numeri di codice previdenziale o altri identificativi emessi da autorità governative, numeri di conti bancari, carte di credito, o altre informazioni finanziarie.
In ogni caso agli utenti che si collegheranno alla piattaforma da un nuovo dispositivo, ma anche a quelli che si ricollegano, verrà richiesto di creare una nuova password: il consiglio è di cambiarla anche per gli account (Facebook ad esempio) collegati, soprattutto se si usa la stessa password per più servizi.