Entre le 2 juin 2018 et le 23 mars 2019, ainsi que les 21 et 22 avril 2019, Flipboard informe qu'une personne non autorisée a eu accès à certaines de ses bases de données et a potentiellement obtenu des copies contenant des données de certains utilisateurs.
Parmi les données concernées, les noms, pseudonymes, adresses email et mots de passe qui sont néanmoins chiffrés.
L'aggrégateur d'articles précise que pour tous les mots de passe modifiés après le 14 mars 2012, ce sont des hashs avec l'algorithme bcrypt pour le chiffrement. Auparavant, c'était un salage et hachage avec SHA-1 qui n'est plus considéré sûr.
Autre point notable, Flipboard estime que le ou les attaquants n'ont pas eu accès aux tokens (jetons) pour des connexions des utilisateurs depuis des comptes tiers (comme via le compte d'un réseau social).
Quoi qu'il en soit, les jetons numériques ont été remplacés ou supprimés. Tous les mots de passe sont en outre réinitialisés par mesure de précaution.
We recently identified & addressed a security incident. We’ve taken measures to protect users’ accounts & secure our systems. As a precautionary measure, we proactively reset all user passwords. We’re providing more details via email & on our support page. https://t.co/tSTKwt7PYN
— Flipboard (@Flipboard) 28 mai 2019
Si tous les comptes des utilisateurs n'ont pas été compromis, Flipboard ne fournit pas une estimation des comptes effectivement affectés. L'année dernière, Flipboard avait revendiqué plus de 145 millions d'utilisateurs par mois.
Flipboard publie un communiqué ainsi qu'une FAQ concernant cet incident de sécurité.
