Flipboard: 1 nouvelle brèche dans la base de donnée

Flipboard a révélé que leur base de données contenant les informations des comptes de certains utilisateurs avait été piraté. Nous ne savons pas encore comment cela s’est produit.

C’est quoi Flipboard?

Flipboard est un agrégateur de réseaux sociaux, disponible sur Android, Windows 8, BlackBerry et IOS. L’application permet à chaque utilisateur de sélectionner les flux qui l’intéressent sur les sites d’informations ou ses propres réseaux sociaux, et de confectionner ainsi son propre magazine.

L’application Flipboard a été lancée le 15 novembre 2010 par un ancien ingénieur d’Apple, Evan Doll, et l’ancien PDG de Tellme, Mike McCue. L’objectif des deux fondateurs était de créer une application qui permettrait de centraliser sur un même média la totalité des informations disponibles sur les réseaux sociaux et les sites d’information, en privilégiant la simplicité et l’esthétique d’un magazine.

L’application aurait été inventée à l’occasion d’une séance de brainstorming où les deux cofondateurs auraient essayé d’imaginer à quoi le web ressemblerait aujourd’hui s’il était conçu à partir de zéro.

En 2012, Flipboard a sorti la première version de son application sur Android et a haché ses mots de passe en utilisant l’algorithme de chiffrement et de hachage nommé SHA-1.

En mars 2014, Flipboard achète Zite, un logiciel similaire, à CNN. Après cette acquisition, le filtrage de contenus recommandés a été amélioré.

Un accès de plus de 10 mois

Selon un communiqué de presse publié hier par la compagnie, des hackers ont réussi à obtenir un accès non-autorisé aux systèmes de Flipboard pendant près de 10 mois —entre le 2 Juin 2018 et le 23 Mars 2019 et encore une fois le 21 et 22 Avril 2019. La compagnie a donc été piraté 2 fois et ne s’était rendu compte de rien du tout.

Les hackers ont ensuite téléchargé la base de donnée contenant les vrais noms des utilisateurs de Flipboard ainsi que leurs logins, les hashs de mots de passe, les adresses emails et les tokens des comptes liés à des réseaux sociaux.

flipboard

Selon l’email de notification envoyé aux utilisateurs de Flipboard qui sont affectés, la compagnie a fait un reset des mots de passe pour tout les utilisateurs par mesure de précaution, forçant les utilisateurs à créer de nouveaux mots de passe pour leurs comptes.

Flipboard affirme ne pas avoir détecté d’accès non-autorisé sur les comptes utilisant des services tiers et ils sont encore en train d’essayer de déterminer le nombre total d’utilisateurs affectés.

Ils ont aussi décidé de remplacer ou de supprimer tout les tokens.

Si vous utilisez la même combinaison de logins et de mots de passe sur d’autres services en ligne, il est recommandé de changer de mots de passe sur ces autres comptes aussi.

Flipboard a contacté les autorités compétentes et enquête encore pour découvrir comment les hackers ont réussi à accéder à leurs systèmes et quelles vulnérabilités ont été exploité.

Pas la première, pas la dernière

Malheureusement ce genre de brèche de données n’est pas nouveau et se produit plutôt régulièrement.

Récemment Stack Overflow avait été victime d’une brèche, les hackers avaient obtenu un accès à une petite portion de donnée, incluant les adresses IP, noms, et les adresses email. Seulement un petit nombre d’utilisateurs était concerné.

Il y’a quelques mois, Docker Hub avait aussi été victime de ce genre d’accident. La brèche avait apparemment exposé des informations sensibles de près de 190 000 utilisateurs (moins de 5% du nombre total d’utilisateurs), incluant des noms d’utilisateurs et des mots de passe hachés, ainsi que des tokens Github et Bitbucket pour les dépôts de Docker. La compagnie avait notifié les utilisateurs affectés via e-mails.

Ce qui est intéressant avec le RGPD c’est l’obligation de transparence que sont censés avoir toutes les entreprises ayant eu un problème de fuite de données personnelles. Pirates, erreur technique, partenaire … Une fuite qui impose transparence et communication de crise.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de