Flipboard se une a la lista de empresas que reconoce haber sufrido una brecha de seguridad, y en esta ocasión no sólo reconoce que datos como nombres, nombres de usuarios y contraseñas cifradas (nada de documentos de identidad, tarjetas o cuentas bancarias) quedaron expuestos, sino que una persona no autorizada tuvo acceso a ellos y de forma probable se hizo con copias de bases de datos con información de usuarios del servicio.
Según Flipboard, dicha información a la que la persona pudo tener acceso contenía datos de entre el 2 de junio de 2018 y el 23 de marzo de 2019 y entre el 21 y el 22 de abril de 2019. El problema fue identificado el día 21 de abril, mientras investigaban actividad sospechosa del 23 de marzo de 2019. Flipboard ha notificado a las autoridades, algo obligatorio con el RGPD.
Las contraseñas estaban protegidas criptográficamente, pero aun así te piden que la cambies
A la vez que reconoce la brecha y el acceso malicioso de la persona, Flipboard dice que las contraseñas estaban protegidas por salted hashing, cuya ventaja es, como sabemos, que en ningún caso hace falta almacernarlas en un texto plano, y que descifrarlas sea una tarea muy compleja. Las contraseñas que no se hayan cambiado desde el 14 de marzo de 2012 cuentan con protección de sal y hash con SHA-1, mientras que las que se hayan establecido desde esa época utilizan un algoritmo hash con la función bcrypt.
Flipboard es más cauta al hablar de accesos con cuentas de terceros (los típicos con cuentas de Gmail, Facebook, Twitter, etc), cuyos tokens podrían estar en las bases de datos expuestas, y que podrían haber sido usados para acceder a cuentas del lector de noticias. Sin embargo, aseguran que no han encontrado pruebas de que se hayan producido accesos no autorizados por la persona que se hizo con las bases de datos. Para prevenir males posteriores, Flipboard asegura que han reemplazado o eliminado dichos tokens digitales.
La próxima vez que los usuarios de Flipboard accedan al servicio, necesitarán o bien cambiar de contraseña, pues lo pedirán de forma obligatoria o, en el caso de haber accedido con cuentas de terceros, volver a conceder acceso a Flipboard a sus datos de inicio de sesión. La compañía ofrece en su página de ayuda más información para el restablecimiento de la contraseña.
En Have I been Pwned, de momento, no se ha añadido la base de datos de esta brecha.
