Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Flipboard piraté, tous les mots de passe et jetons d'identification réinitialisés

Dans un communiqué, la société explique qu'une « personne non autorisée a eu accès, et potentiellement copié, certaines bases de données contenant des informations sur les utilisateurs de Flipboard ».

Une première fois entre le 2 juin 2018 et le 23 mars 2019, une seconde les 21 et 22 avril. L'éditeur ne précise pas si les deux brèches ont la même origine et/ou si la même personne est derrière les attaques. Il indique seulement avoir découvert les activités suspectes des 21 et 22 avril, le 23 avril 2019, alors qu'il enquêtait sur celles du 23 mars 2019.

Parmis les informations exposées : nom d'utilisateur, email et mot de passe « haché et salé ». Flipboard précise que si votre mot de passe a été créé ou changé après le 14 mars 2012, son empreinte a été générée via bcrypt, contre SHA-1 auparavant. Pour rappel, ce dernier n'est plus considéré comme sûr depuis longtemps.

Ce n'est pas tout : « si les utilisateurs ont connecté leur compte Flipboard à une tierce partie, y compris les réseaux sociaux, les bases de données peuvent contenir des jetons d'identification ». Aucune preuve d'une utilisation malveillante n'a été trouvée, mais ils ont été révoqués « par prudence ».

Flipboard ne précise pas combien d'utilisateurs sont touchés, mais promet qu'ils ne le sont « pas tous », sans aucune indication supplémentaire. Néanmoins, et là encore par mesure de précaution, l'ensemble des mots de passe a été révoqué. Il faudra donc en créer un nouveau lors de votre prochaine connexion.

4 commentaires
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 29/05/19 à 08:43:33

C'est pas un truc qui appartient à Samsung ?

Me rappel qu'il était installé en bloatware sur mon S3 et S7.

Avatar de Patch INpactien
Avatar de PatchPatch- 29/05/19 à 09:20:38

dylem29 a écrit :

C'est pas un truc qui appartient à Samsung ?

Me rappel qu'il était installé en bloatware sur mon S3 et S7.

Flipboard est indépendante. Il devait juste y avoir un accord entre Samsung et eux, comme ca se fait depuis très longtemps dans le monde PC.

Avatar de seboquoi Abonné
Avatar de seboquoiseboquoi- 29/05/19 à 09:55:57

Je l'utilise pas mal sur mon iPhone. Une fois qu'on a ajouté les services/sites qui nous intéressent, c'est plus agréable que le RSS pour moi. Je n'ai reçu aucun mail de leur part suite à cet incident.

Avatar de dolphin42 INpactien
Avatar de dolphin42dolphin42- 29/05/19 à 17:13:48

Petit détail par rapport au lien sur SHA-1.

Oui, SHA-1 est vulnérable aux collisions, mais ça n'a pas d'importance pour ce qui est de trouver un mot de passe correspondant à un hash donné.
Ce qu'il faut pour ça, c'est une attaque de préimage, et SHA-1 n'est pas vulnérable à ce type d'attaque (jusqu'à preuve du contraire).

Bien sûr, ça reste une très mauvaise chose d'utiliser SHA-1 pour hasher des mots de passe, car c'est une fonction beaucoup trop rapide, ce qui rend le brute force possible.

Il n'est plus possible de commenter cette actualité.