Flipboard在發現黑客訪問其數據庫超過九個月後重置其用戶密碼

對於那些不知道的人，Flipboard是一個新聞聚合服務，擁有超過1億用戶，並從大約11,000個網站收集文章。 4月23日，其工程師注意到日誌中的異常活動並決定進行調查。他們最終發現了一個相當令人擔憂的數據洩露事件。

Flipboard在12個月前首次被破壞

Flipboard的技術人員首先決定看一看，因為他們懷疑在4月21日左右未經授權訪問某些數據庫。事實證明，違規發生的時間遠早於他們最初的估計。該團隊發現黑客確實可以在4月21日到4月22日之間訪問數據庫，但他們也發現了3月下旬的漏洞。經過進一步調查，新聞聚合服務部門意識到網絡犯罪分子於2018年6月2日首次突破了Flipboard的防禦。他們一直呆在2019年3月23日，並於4月下旬回來。

換句話說，黑客可以在295天或僅僅9個月到3週內訪問Flipboard用戶的信息。

它沒有聽起來那麼糟糕

雖然攻擊的時間表似乎很清楚，但Flipboard仍然沒有詳細說明。例如，他們不知道有多少人受到影響，儘管他們似乎非常確信並非所有用戶都暴露了他們的數據。

黑客可用的信息包括用戶名，電子郵件地址，使用第三方帳戶訪問Flipboard的人的數字令牌，以及新聞聚合器將其置於數據洩露通知中的“加密保護”密碼。通過“加密保護”，它們意味著散列，這對受影響的用戶來說是個好消息。

散列是一種單向加密函數，可將密碼轉換為隨機字符串。如果密碼經過哈希處理，即使服務提供商也無法訪問密碼，這就是為什麼安全專家說這是用戶密碼應該被處理的方式。值得慶幸的是，Flipboard的開發人員一直在傾聽。

當然，有許多不同的散列算法，可以預見，有些算法比其他算法強。自2012年3月14日起，Flipboard使用了bcrypt，它被廣泛認為是目前最安全的散列函數之一。在2012年3月之前創建的密碼用SHA1進行了散列，而SHA1遠遠不夠強大，但由於這些密碼中的每一個都有自己獨特的鹽，因此破解它們仍然是一項相當困難的工作。

所有用戶都要更改密碼，以防萬一

Flipboard還沒有看到有人濫用暴露數據的證據，但為了安全起見，它已經採取了一些預防措施來確保用戶不會受到太大的影響。用戶通過其社交媒體配置文件創建Flipboard帳戶的所有訪問令牌均已失效並已刪除。除此之外，雖然攻擊不會影響所有用戶，但每個Flipboard密碼都將被重置. 人們將繼續登錄他們當前使用的設備，但下次他們註銷時，他們將被迫創建一個新密碼。

Flipboard表示雖然它對散列函數的安全性有信心，但它正在實施密碼重置，並且非常謹慎。它還建議人們對所有在線服務使用唯一密碼，並提供數據洩露通知，以及有關如何手動更改密碼以及如何發現可能試圖利用圍繞攻擊的新聞的潛在網絡釣魚活動的其他詳細信息。

總的來說，Flipboard數據洩露並不是我們見過的最糟糕的網絡安全事件。該公司採取了足夠的預防措施，以確保如果最壞的情況發生，人們的信息保持相對安全，現在似乎對整個事情非常開放和透明。實際上，黑客仍然未被發現近十個月，這令人擔憂，但希望新聞聚合器將採用一些新的做法，並將從現在開始更密切地監控其係統。