“Vi stiamo scrivendo per comunicarvi che di recente abbiamo identificato e risolto un incidente di sicurezza che riguardava una sottocategoria di dati degli utenti. Sappiamo che la trasparenza è importante per la nostra comunità, e vogliamo condividere con voi quanto abbiamo appreso dalle indagini, le misure che sono state prese, e comunicarvi le misure che potete intraprendere“, scrive Flipboard alla propria Community.
Per chi non la conoscesse, Flipboard è un’applicazione lanciata nel luglio 2010 che consente di creare un personal social magazine. Una volta scelti argomenti di interesse, il servizio aggrega il materiale individuato da diverse fonti, impaginandolo come fosse una rivista digitale.
Ecco il testo inviato in newsletter.
Cosa è successo – Abbiamo identificato recentemente un accesso non autorizzato ai database contenenti alcune informazioni degli account degli utenti di Flipboard, incluse le credenziali dell’account. In risposta a questa scoperta abbiamo subito avviato un’indagine e una ditta esterna esperta nel campo della sicurezza ci ha assistito nello svolgimento. I dati dell’indagine indicano che una persona non autorizzata ha eseguito l’accesso e ha ottenuto potenzialmente copie di alcuni database che contengono le informazioni degli utenti Flipboard tra il 2 giugno 2018 e il 23 marzo 2019 e tra il 21 e il 22 aprile 2019.
Quali informazioni sono state incluse – I database presi in considerazione possono aver contenuto il vostro nome, il nome utente Flipboard, la password protetta cripto-graficamente e l’indirizzo email.
Flipboard ha sempre protetto le password cripto-graficamente usando una tecnica conosciuta da esperti della sicurezza come “salted hashing”. Il vantaggio di fare l’hashing delle password consiste nel non dover mai salvare le password in formato di testo. Inoltre, usare un sale esclusivo per ogni password in combinazione con gli algoritmi di hashing, rende molto difficile e richiede significative risorse informatiche per craccare le password crittate. Se avete creato o cambiato la password dopo il 14 marzo 2012, questa è stata criptata con una funzione che si chiama bcrypt. Se non è stata cambiata la password dopo tale data, era stata criptata con sale SHA-1.
Inoltre, se il vostro account Flipboard è connesso ad account di terze parti, inclusi account social media, i database possono aver contenuto token digitali usati per connettere il proprio account Flipboard a tale account di terzi. Non abbiamo riscontrato nessuna prova che la persona non autorizzata abbia avuto accesso all’account di terzi connesso al vostro account Flipboard. Come precauzione, abbiamo sostituito e cancellato tutti i token digitali.
Sottolineiamo che non raccogliamo dagli utenti i numeri di codice previdenziale o altri mezzi di identificazione emessi dal governo, numeri di conti bancari, carte di credito, o altre informazioni finanziarie, né questi sono stati coinvolti nell’incidente.
Cosa stiamo facendo – In maniera precauzionale, abbiamo reimpostato tutte le password degli utenti, anche se le password erano protette in maniera criptata e non tutte le informazioni dell’account dell’utente erano coinvolte. Potete continuare ad usare Flipboard dai dispositivi con i quali già vi collegate. Quando accedete al vostro account Flipboard da un nuovo dispositivo, o quando vi ricollegate a Flipboard dopo esservi disconnessi dal vostro account, vi verrà chiesto di creare una nuova password.
Un’altra misura precauzionale è stata disconnettere tutti i token usati per connettere tutti gli account di terzi; in collaborazione con i nostri partner, abbiamo sostituito tutti i token digitali o li abbiamo cancellati dove possibile.
Inoltre, per prevenire che qualcosa di simile possa accadere in futuro, abbiamo implementato migliori misure di sicurezza e continuiamo a ricercare modi ulteriori per rinforzare la sicurezza dei nostri sistemi. Abbiamo anche notificato le forze di polizia.
Cosa potete fare – È possibile continuare a usare Flipboard senza ulteriori azioni. La prossima volta che vi connetterete al vostro account vi sarà in ogni caso comunicato che la password del vostro account deve essere aggiornata. Ci saranno indicazioni sulla nostra pagina di supporto (seguire il link qui sotto) che spiega come creare una nuova password. Inoltre, se utilizzate lo stesso username e password creati per Flipboard per altri servizi online, vi consigliamo di modificare anche tali password.
Se connettete il vostro account Flipboard ad un account di terzi per vedere il suo contenuto, in alcuni casi noterete che è necessario riconnetterlo. Sulla nostra pagina di supporto si possono trovare le istruzioni per farlo.
Dove trovare informazioni aggiuntive – Ci dispiace per l’incidente che si è verificato. Per maggiori informazioni e risposte alle domande frequenti, abbiamo creato una pagina di supporto con maggiori dettagli sull’incidente.