Einige Nutzer der Nachrichten-App Flipboard erhielten kürzlich E-Mails, in denen ein Sicherheitsvorfall gemeldet wurde. Demnach hatte ein Unbekannter Zugang zur Datenbank mit Nutzerdaten und könnte diese kopiert haben. Betroffen sein könnten Nutzernamen & Passwörter freilich nicht Daten von Bankkonten oder Kreditkarten. Die Betreiber des Dienstes haben daraufhin alle Nutzer gebeten, ihre Passwörter zu ändern und zusätzlich eine Zwei-Faktor-Authentifizierung einzurichten.
Mehrere Monate im System
Einem offiziellen Statement von Flipboard zufolge hatte ein unbefugter Dritter im Zeitraum von Juni 2018 bis April 2019 Zugriff auf die Datenbank. Somit konnte er Benutzernamen, Passwörter und in einigen Fällen ebenfalls E-Mail-Adressen und digitale Tokens die Konten von Drittanbietern mit einem Flipboard-Konto verbinden, einsehen. Der Zwischenfall wurde erst am 23. April 2019 bemerkt.
Ob alle Flipboad-Nutzer von dem Vorfall betroffen sind ist derzeit nicht bekannt. Mittlerweile haben die Verantwortlichen alle Passwörter & Tokens zurückgesetzt. Wer sich auf einem neuen System anmeldet – muss ein neues Kennwort vergeben. Wer sein Flipboard-Passwort auch bei anderen Online-Diensten einsetzt, sollte es aus Sicherheitsgründen auch dort zügig ändern.
Kennwörter geschützt
Die möglicherweise kopierten Passwörter liegen aber nicht im Klartext vor, versichert Flipboard. Sie sind mit einer Hash-Funktion behandelt und mit einer zusätzlichen Zufallszahl (Salt) verfremdet, sodass man sie grundsätzlich nicht rekonstruieren kann.
Bei seit 14. März 2012 erstellten oder geänderten Passwörtern soll dafür die momentan als sicher geltende bcrypt-Funktion zum Einsatz gekommen sein. Davor hat Flipboard das als unsicher geltende SHA-1 eingsetzt.
Wie der Zugriff auf die Datenbank möglich war ist momentan noch ungeklärt. Derzeit arbeitet Flipboard den Fall auf.
Kommentare