Flipboard confirma possível roubo de 150 milhões de senhas

Divulgação
A empresa agregadora de notícias usada por 150 milhões de pessoas foi hackeada duas vezes

Resumo:

  • Os ataques ao Flipboard foram realizados entre junho de 2018 e abril de 2019;
  • Para solucionar parte dos problemas, o aplicativo redefiniu a senha de seus usuários.

O Flipboard, que é usado por 150 milhões de pessoas por mês, foi invadido. De acordo com um aviso de segurança publicado pela empresa, o chamado “acesso não autorizado” a bancos de dados ocorreu entre 2 de junho de 2018 e 23 de março de 2019, e também nos dias 21 e 22 de abril. Foi confirmado que o hacker está com “cópias potencialmente obtidas de certos bancos de dados contendo informações do usuário do Flipboard”.

LEIA MAIS: Yahoo faz acordo em caso de violação de dados

Quais dados foram violados?

De acordo com o Flipboard, os bancos de dados comprometidos possuem credenciais de conta, nomes reais, nomes de usuário, senhas protegidas criptograficamente e endereços de e-mail. Embora não se saiba exatamente quantos usuários foram impactados pela violação, o aplicativo, que tem 150 milhões de usuários mensais, diz que “nem todos os usuários foram afetados”. Segundo a empresa, as senhas são protegidas por algoritmos salted hashes, ou, em linguagem simples, um método de proteção que usa informações únicas, o que torna muito difícil para qualquer invasor descobri-las. No entanto, há uma ressalva: o Flipboard admite que as senhas criadas (ou alteradas) antes de 14 de março de 2012 usavam um algoritmo de hash muito mais fraco, além de tokens digitais ​​para conectar contas do Flipboard à mídia social e outras contas de terceiros, que a empresa diz que “podem ter” sido armazenadas nesses bancos de dados violados.

Como o Flipboard reagiu?

Assim que o Flipboard descobriu o acesso não autorizado, em 23 de abril, iniciou uma investigação com a ajuda de uma empresa de segurança externa. Embora possa parecer um atraso excessivamente longo antes de informar os usuários sobre o ocorrido, a empresa foi minuciosa ao realizar essa investigação forense para confirmar o incidente antes de divulgá-lo, e especialistas em segurança concordam que a divulgação foi completa e honesta. O hacker ético (especializado em segurança da informação) John Opdenakker me disse que “enquanto muitas empresas falham na divulgação de violações de dados, o Flipboard fez um bom trabalho – sua comunicação foi muito transparente e detalhada”. Todos os titulares de contas do Flipboard devem ter recebido um e-mail com detalhes da violação. Os responsáveis pela aplicação da lei também foram notificados. Embora as senhas tenham sido criptografadas, o Flipboard tomou a precaução de redefinir todas elas. E substituiu ou excluiu todos os tokens digitais, mesmo sem evidências de que qualquer conta de mídia social ou de terceiros tenha sido acessada pelos invasores.

O que fazer agora?

Os usuários podem continuar a usar suas contas do Flipboard, mas a troca de senha será solicitada, com instruções de como fazer isso. Se nome de usuário e senha foram usados em outros serviços, é mais seguro alterá-los. Os agentes de ameaças usam essas credenciais compartilhadas para comprometer recursos valiosos, como e-mail e contas de mídia social, por exemplo. Os usuários que fazem login no Flipboard usando contas do Facebook, Google, Samsung ou Twitter podem fazer isso normalmente. O Flipboard afirma que “sua senha não é armazenada em nosso banco de dados e nós rotacionamos tokens digitais”. Falando nisso, se a conta no aplicativo estiver conectada a uma mídia social ou a uma conta de terceiros, talvez seja necessário reconectá-las ao Flipboard. A empresa incluiu em sua página de suporte instruções sobre como fazer isso.

Siga a FORBES Brasil nas redes sociais:

Facebook
Twitter
Instagram
YouTube

Copyright Forbes Brasil. Todos os direitos reservados. É proibida a reprodução, total ou parcial, do conteúdo desta página em qualquer meio de comunicação, impresso ou digital, sem prévia autorização, por escrito, da Forbes Brasil ([email protected]).