De populaire nieuws-app Flipboard waarschuwt gebruikers voor een datalek nadat een aanvaller ongeautoriseerde toegang tot verschillende databases wist te krijgen. Dat heeft het bedrijf achter de app bekendgemaakt. Flipboard ontdekte de ongeautoriseerde activiteit op 23 april van dit jaar.
Het engineeringteam was op dat moment bezig met onderzoek naar verdachte activiteit die op 23 maart van dit jaar had plaatsgevonden. Na ontdekking van de aanval werd een verder onderzoek ingesteld. Daaruit blijkt dat een ongeautoriseerde persoon tussen 2 juni 2018 en 23 maart 2019 en tussen 21 en 22 april 2019 mogelijk kopieën van verschillende databases met gegevens van Flipboard-gebruikers heeft gemaakt. Het gaat om namen, Flipboard-gebruikersnamen, e-mailadressen en gesalte en met bcrypt gehashte wachtwoorden. In het geval gebruikers hun wachtwoord voor 14 maart 2012 hadden aangemaakt en sindsdien niet meer veranderd, is het wachtwoord gesalt en met het SHA-1-algoritme gehasht.
Wanneer gebruikers hun Flipboard-account aan een third-party account hadden gekoppeld, zoals een socialmedia-account, dan stonden in de database ook tokens die voor deze koppeling werden gebruikt. Flipboard zegt geen aanwijzingen te hebben gevonden dat de aanvaller deze tokens heeft gebruikt om toegang tot de gekoppelde third-party accounts van Flipboard-gebruikers te krijgen, maar heeft uit voorzorg alle tokens verwijderd en vervangen. Tevens is besloten om van alle gebruikers het wachtwoord te resetten.
Hoe de aanvaller precies toegang tot de databases wist te krijgen is niet bekendgemaakt. Om herhaling te voorkomen heeft Flipboard naar eigen zeggen 'verbeterde beveiligingsmaatregelen' geïmplementeerd en kijkt het naar manieren om de veiligheid van de systemen te versterken. "Voor beveiligingsredenen geven we geen specifieke details", aldus de nieuws-app, die zo'n 145 miljoen gebruikers heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.