A empresa agregadora de notícias usada por 150 milhões de pessoas foi hackeada duas vezes
Resumo:
- Os ataques ao Flipboard foram realizados entre junho de 2018 e abril de 2019;
- Para solucionar parte dos problemas, o aplicativo redefiniu a senha de seus usuários.
O Flipboard, que é usado por 150 milhões de pessoas por mês, foi invadido. De acordo com um aviso de segurança publicado pela empresa, o chamado “acesso não autorizado” a bancos de dados ocorreu entre 2 de junho de 2018 e 23 de março de 2019, e também nos dias 21 e 22 de abril. Foi confirmado que o hacker está com “cópias potencialmente obtidas de certos bancos de dados contendo informações do usuário do Flipboard”.
LEIA MAIS: Yahoo faz acordo em caso de violação de dados
Quais dados foram violados?
De acordo com o Flipboard, os bancos de dados comprometidos possuem credenciais de conta, nomes reais, nomes de usuário, senhas protegidas criptograficamente e endereços de e-mail. Embora não se saiba exatamente quantos usuários foram impactados pela violação, o aplicativo, que tem 150 milhões de usuários mensais, diz que “nem todos os usuários foram afetados”. Segundo a empresa, as senhas são protegidas por algoritmos salted hashes, ou, em linguagem simples, um método de proteção que usa informações únicas, o que torna muito difícil para qualquer invasor descobri-las. No entanto, há uma ressalva: o Flipboard admite que as senhas criadas (ou alteradas) antes de 14 de março de 2012 usavam um algoritmo de hash muito mais fraco, além de tokens digitais para conectar contas do Flipboard à mídia social e outras contas de terceiros, que a empresa diz que “podem ter” sido armazenadas nesses bancos de dados violados.
Como o Flipboard reagiu?
Assim que o Flipboard descobriu o acesso não autorizado, em 23 de abril, iniciou uma investigação com a ajuda de uma empresa de segurança externa. Embora possa parecer um atraso excessivamente longo antes de informar os usuários sobre o ocorrido, a empresa foi minuciosa ao realizar essa investigação forense para confirmar o incidente antes de divulgá-lo, e especialistas em segurança concordam que a divulgação foi completa e honesta. O hacker ético (especializado em segurança da informação) John Opdenakker me disse que “enquanto muitas empresas falham na divulgação de violações de dados, o Flipboard fez um bom trabalho – sua comunicação foi muito transparente e detalhada”. Todos os titulares de contas do Flipboard devem ter recebido um e-mail com detalhes da violação. Os responsáveis pela aplicação da lei também foram notificados. Embora as senhas tenham sido criptografadas, o Flipboard tomou a precaução de redefinir todas elas. E substituiu ou excluiu todos os tokens digitais, mesmo sem evidências de que qualquer conta de mídia social ou de terceiros tenha sido acessada pelos invasores.
O que fazer agora?
Os usuários podem continuar a usar suas contas do Flipboard, mas a troca de senha será solicitada, com instruções de como fazer isso. Se nome de usuário e senha foram usados em outros serviços, é mais seguro alterá-los. Os agentes de ameaças usam essas credenciais compartilhadas para comprometer recursos valiosos, como e-mail e contas de mídia social, por exemplo. Os usuários que fazem login no Flipboard usando contas do Facebook, Google, Samsung ou Twitter podem fazer isso normalmente. O Flipboard afirma que “sua senha não é armazenada em nosso banco de dados e nós rotacionamos tokens digitais”. Falando nisso, se a conta no aplicativo estiver conectada a uma mídia social ou a uma conta de terceiros, talvez seja necessário reconectá-las ao Flipboard. A empresa incluiu em sua página de suporte instruções sobre como fazer isso.
