Flipboard在发现黑客访问其数据库超过九个月后重置其用户密码

对于那些不知道的人，Flipboard是一个新闻聚合服务，拥有超过1亿用户，并从大约11,000个网站收集文章。 4月23日，其工程师注意到日志中的异常活动并决定进行调查。他们最终发现了一个相当令人担忧的数据泄露事件。

Flipboard在12个月前首次被破坏

Flipboard的技术人员首先决定看一看，因为他们怀疑在4月21日左右未经授权访问某些数据库。事实证明，违规发生的时间远早于他们最初的估计。该团队发现黑客确实可以在4月21日到4月22日之间访问数据库，但他们也发现了3月下旬的漏洞。经过进一步调查，新闻聚合服务部门意识到网络犯罪分子于2018年6月2日首次突破了Flipboard的防御。他们一直呆在2019年3月23日，并于4月下旬回来。

换句话说，黑客可以在295天或仅仅9个月到3周内访问Flipboard用户的信息。

它没有听起来那么糟糕

虽然攻击的时间表似乎很清楚，但Flipboard仍然没有详细说明。例如，他们不知道有多少人受到影响，尽管他们似乎非常确信并非所有用户都暴露了他们的数据。

黑客可用的信息包括用户名，电子邮件地址，使用第三方帐户访问Flipboard的人的数字令牌，以及新闻聚合器将其置于数据泄露通知中的“加密保护”密码。通过“加密保护”，它们意味着散列，这对受影响的用户来说是个好消息。

散列是一种单向加密函数，可将密码转换为随机字符串。如果密码经过哈希处理，即使服务提供商也无法访问密码，这就是为什么安全专家说这是用户密码应该被处理的方式。值得庆幸的是，Flipboard的开发人员一直在倾听。

当然，有许多不同的散列算法，可以预见，有些算法比其他算法强。自2012年3月14日起，Flipboard使用了bcrypt，它被广泛认为是目前最安全的散列函数之一。在2012年3月之前创建的密码用SHA1进行了散列，而SHA1远远不够强大，但由于这些密码中的每一个都有自己独特的盐，因此破解它们仍然是一项相当困难的工作。

所有用户都要更改密码，以防万一

Flipboard还没有看到有人滥用暴露数据的证据，但为了安全起见，它已经采取了一些预防措施来确保用户不会受到太大的影响。用户通过其社交媒体配置文件创建Flipboard帐户的所有访问令牌均已失效并已删除。除此之外，虽然攻击不会影响所有用户，但每个Flipboard密码都将被重置. 人们将继续登录他们当前使用的设备，但下次他们注销时，他们将被迫创建一个新密码。

Flipboard表示虽然它对散列函数的安全性有信心，但它正在实施密码重置，并且非常谨慎。它还建议人们对所有在线服务使用唯一密码，并提供数据泄露通知，以及有关如何手动更改密码以及如何发现可能试图利用围绕攻击的新闻的潜在网络钓鱼活动的其他详细信息。

总的来说，Flipboard数据泄露并不是我们见过的最糟糕的网络安全事件。该公司采取了足够的预防措施，以确保如果最坏的情况发生，人们的信息保持相对安全，现在似乎对整个事情非常开放和透明。实际上，黑客仍然未被发现近十个月，这令人担忧，但希望新闻聚合器将采用一些新的做法，并将从现在开始更密切地监控其系统。