Dans un communiqué, la société explique qu'une « personne non autorisée a eu accès, et potentiellement copié, certaines bases de données contenant des informations sur les utilisateurs de Flipboard ».
Une première fois entre le 2 juin 2018 et le 23 mars 2019, une seconde les 21 et 22 avril. L'éditeur ne précise pas si les deux brèches ont la même origine et/ou si la même personne est derrière les attaques. Il indique seulement avoir découvert les activités suspectes des 21 et 22 avril, le 23 avril 2019, alors qu'il enquêtait sur celles du 23 mars 2019.
Parmis les informations exposées : nom d'utilisateur, email et mot de passe « haché et salé ». Flipboard précise que si votre mot de passe a été créé ou changé après le 14 mars 2012, son empreinte a été générée via bcrypt, contre SHA-1 auparavant. Pour rappel, ce dernier n'est plus considéré comme sûr depuis longtemps.
Ce n'est pas tout : « si les utilisateurs ont connecté leur compte Flipboard à une tierce partie, y compris les réseaux sociaux, les bases de données peuvent contenir des jetons d'identification ». Aucune preuve d'une utilisation malveillante n'a été trouvée, mais ils ont été révoqués « par prudence ».
Flipboard ne précise pas combien d'utilisateurs sont touchés, mais promet qu'ils ne le sont « pas tous », sans aucune indication supplémentaire. Néanmoins, et là encore par mesure de précaution, l'ensemble des mots de passe a été révoqué. Il faudra donc en créer un nouveau lors de votre prochaine connexion.
Commentaires (4)
#1
C’est pas un truc qui appartient à Samsung ?
Me rappel qu’il était installé en bloatware sur mon S3 et S7.
#2
#3
Je l’utilise pas mal sur mon iPhone. Une fois qu’on a ajouté les services/sites qui nous intéressent, c’est plus agréable que le RSS pour moi. Je n’ai reçu aucun mail de leur part suite à cet incident.
#4
Petit détail par rapport au lien sur SHA-1.
Oui, SHA-1 est vulnérable aux collisions, mais ça n’a pas d’importance pour ce qui est de trouver un mot de passe correspondant à un hash donné.
Ce qu’il faut pour ça, c’est une attaque de préimage, et SHA-1 n’est pas vulnérable à ce type d’attaque (jusqu’à preuve du contraire).
Bien sûr, ça reste une très mauvaise chose d’utiliser SHA-1 pour hasher des mots de passe, car c’est une fonction beaucoup trop rapide, ce qui rend le brute force possible.