Comme étape de précaution, il a réinitialisé tous les mots de passe des utilisateurs. Alors que vous pouvez continuer à utiliser Flipboard à partir d’appareils que vous êtes déjà connecté, vous serez invités à créer un nouveau mot de passe si vous essayez de vous connecter à tout moment.
Voici le contenu du courriel envoyé par Flipboard à ses utilisateurs :
Flipboard a récemment relevé et géré un incident de sécurité concernant les données d’un sous-ensemble de données utilisateur.
Nous savons que la transparence est un facteur essentiel pour les membres de notre communauté, et nous avons créé cette page Internet pour expliquer ce que nous avons découvert pendant notre enquête, les mesures que nous avons prises, et ce que les utilisateurs peuvent faire en réponse à cet incident.
Que s’est-il passé ?
Nous avons récemment découvert un accès non autorisé à certaines de nos bases de données contenant certaines informations de comptes d’utilisateurs de Flipboard, y compris des identifiants d’accès.
Nous avons immédiatement lancé une enquête, et une firme de sécurité externe a été engagée pour nous aider.
Les résultats de cette enquête ont révélé qu’entre le 2 juin 2018 et le 23 mars 2019, et aussi les 21 et 22 avril 2019, une personne non autorisée a accédé à certaines bases de données et potentiellement copié des informations relatives à certains utilisateurs de Flipboard.
Quelles informations sont concernées ?
Les bases de données concernées par cet incident contenaient les données des comptes de certains de nos utilisateurs, y compris leurs nom, pseudonyme Flipboard, mot de passe protégé par cryptographie et adresse mail.
Flipboard a toujours cryptographiquement protégé les mots de passe à l’aide d’une technique bien connue des experts en sécurité qui s’appelle le « hachage salé » (salted hashing). L’avantage de cette technique est que nous n’avons jamais besoin de stocker les mots de passe en texte brut.
En outre, le fait d’utiliser un sel unique pour chaque mot de passe en combinaison avec des algorithmes de hachage rend très difficile de déchiffrer les mots de passe et nécessite des ressources informatiques significatives.
Si un utilisateur a créé ou modifié son mot de passe après le 14 mars 2012, ce dernier a été haché à l’aide d’une fonction appelée bcrypt. Si un utilisateur n’a pas changé son mot de passe depuis cette date, ce dernier a uniquement été salé et haché à l’aide de SHA-1.
En outre, si un utilisateur a connecté son compte Flipboard à un compte tiers, y compris des comptes sur des médias sociaux, sachez que certaines bases de données contiennent des jetons numériques utilisés pour connecter son compte Flipboard à ce compte tiers.
Nous n’avons découvert aucun élément démontrant que la personne non autorisée qui est à l’origine de cet incident a accédé à un ou à plusieurs comptes tiers connectés à des comptes d’utilisateurs Flipboard. Néanmoins, par mesure de précaution, nous avons remplacé ou supprimé tous les jetons numériques
Il est important de noter que nous ne demandons jamais à nos utilisateurs de nous fournir des informations personnelles. Cet incident ne concerne aucuns numéros de sécurité sociale ou autres numéros d’identité fournis par une administration publique, ni aucuns numéros de compte bancaire, de carte de crédit ou autres informations financières.
Quelles mesures avons-nous prises ?
Par précaution, nous avons réinitialisé tous les mots de passe de nos utilisateurs, même s’ils étaient déjà cryptographiquement protégés et même si les informations de certains utilisateurs ne sont pas concernées par cet incident.
Par ailleurs, sachez que vous pouvez continuer à utiliser Flipboard sur les appareils à partir desquels vous êtes déjà connecté(e) à Flipboard.
Si vous décidez d’utiliser Flipboard à partir d’un nouvel appareil, ou la prochaine fois que vous vous connectez à Flipboard après vous être déconnecté(e) de votre compte, il vous sera demandé de créer un nouveau mot de passe.
Par précaution supplémentaire, nous avons déconnecté les jetons utilisés pour se connecter à tous les comptes tiers, et, en collaboration avec nos partenaires, nous avons remplacé tous les jetons numériques, ou les avons supprimés le cas échéant.
En outre, afin d’éviter que ce type d’incident ne se reproduise, nous avons renforcé nos mesures de sécurité, et continuons à réfléchir afin de déterminer quels moyens supplémentaires pourraient nous permettre de renforcer la sécurité de nos systèmes. Nous avons également notifié les autorités concernant cet incident.
Pour rappel, Flipboard a plus de 145 millions utilisateurs actifs mensuels.
La société n’a pas divulgué le nombre exact de comptes qui avaient été violés, mais a seulement déclaré qu’un “sous-ensemble de données d’utilisateur” avait été compromise.
