Unbekannte hatten seit Sommer Jahr 2018 wohl über Monate Zugriff auf die Datenbanken, die die App Flipboard nutzt. Inzwischen wurden vom Betreiber alle Passwörter zurückgesetzt.
Anzeige
Ich gestehe, es lief mir mal wieder ein Schauer über den Rücken. So vor fünf, sechs Jahren gab es eine Phase, in der ich auch schon mal Apps ausprobiert habe, um darüber zu bloggen. Irgendwann stand auch Flipboard auf der Agenda, denn die bloggenden Kollegen von Stadt Bremerhaven bis Mobiflip schrieben so begeistert darüber. Flipboard ist laut Wikipedia eine soziale Nachrichten-App für Android, iOS, Windows Phone und Windows. Zudem gibt es eine Flipboard-Website. Ich hatte die App erinnerungsmäßig sogar schon auf einem iPad – nur als das Teil von mir eine Anmeldung wollte, habe ich das rigoros gelöscht und gedacht 'was soll der Mist'. Heute bin ich froh über die Entscheidung, ähnlich wie beim Entschluss, disqus nicht hier im Blog einzubinden, auch wenn das alle anderen tun. Denn discuss wurde vor Jahren gehackt – und Flipboard seit Sommer 2018. Das geht aus folgendem Tweet hervor.
We recently identified & addressed a security incident. We've taken measures to protect users' accounts & secure our systems. As a precautionary measure, we proactively reset all user passwords. We're providing more details via email & on our support page. https://t.co/tSTKwt7PYN
— Flipboard (@Flipboard) 28. Mai 2019
Der Flipboard-Hack
Betroffene Nutzer von Flipboard werden derzeit per Mail über einen Hack der Plattform informiert. Das Unternehmen informiert hier über einen 'Sicherheitsvorfall':
Anzeige
Aktualisiert am 28. Mai 2019
Flipboard hat kürzlich einen Sicherheitsvorfall identifiziert und behoben, der eine Teilmenge der Benutzerdaten betrifft. […]
Was ist passiert?
Wir haben kürzlich einen nicht autorisierten Zugriff auf einige unserer Datenbanken festgestellt, die die Kontoinformationen bestimmter Flipboard-Benutzer enthalten, einschließlich der Kontoanmeldeinformationen. Als Reaktion auf diese Entdeckung haben wir sofort eine Untersuchung eingeleitet und die Dienste einer externen Sicherheitsfirma in Anspruch genommen. Die Ergebnisse der Untersuchung zeigen, dass eine nicht autorisierte Person zwischen dem 2. Juni 2018 und dem 23. März 2019 sowie am 21. und 22. April 2019 auf bestimmte Datenbanken mit Flipboard-Benutzerinformationen zugegriffen und möglicherweise Kopien derselben erstellt hat.
Welche Informationen waren betroffen?
Die betroffenen Datenbanken enthielten einige Kontoinformationen unserer Benutzer, einschließlich des Namens, des Flipboard-Benutzernamens, des kryptografisch geschützten Passworts und der E-Mail-Adresse.
Flipboard hat immer kryptografisch geschützte Passwörter verwendet, eine Technik, die von Sicherheitsexperten als "Salted Hashing" bezeichnet wird. Der Vorteil des Hashens von Passwörtern besteht darin, dass wir die Passwörter niemals im Klartext speichern müssen. Darüber hinaus wird es durch die Verwendung eines einzigartigen Salt für jedes Kennwort in Kombination mit den Hashing-Algorithmen äußerst schwierig, diese Kennwörter zu knacken, da man dafür erhebliche Rechnerressourcen benötigen würde. Wenn Benutzer ihr Passwort nach dem 14. März 2012 erstellt oder geändert haben, wird es mit einer Funktion namens bcrypt gehasht. Wenn Benutzer ihr Passwort seitdem nicht geändert haben, wird es mit einem einzigartigen Salt versehen und mit SHA-1 gehasht.
Wenn Benutzer ihr Flipboard-Konto mit einem Drittanbieter-Konto, einschließlich Social Media-Konten, verbunden haben, enthalten die Datenbanken darüber hinaus möglicherweise auch digitale Tokens, die dazu dienen, ihr Flipboard-Konto mit diesem Drittanbieter-Konto zu verbinden. Wir haben keine Beweise dafür gefunden, dass die nicht autorisierte Person auf Konten von Drittanbietern zugegriffen hat, die mit Flipboard-Konten von Benutzern verbunden sind. Vorsichtshalber haben wir alle digitalen Tokens ersetzt oder gelöscht.
Es ist uns wichtig, an dieser Stelle darauf hinzuweisen, dass wir keine Daten von Benutzern sammeln und von diesem Vorfall weder Sozialversicherungsnummern noch andere von den Behörden ausgestellte Ausweise, Bankkonten, Kreditkarten oder andere Finanzinformationen betroffen waren.
Was wir tun
Wir haben vorsichtshalber die Passwörter aller Benutzer zurückgesetzt, obwohl die Passwörter kryptografisch geschützt und auch nicht die Kontoinformationen aller Benutzer betroffen waren. Sie können Flipboard weiterhin auf Geräten verwenden, auf denen Sie bereits angemeldet sind. Wenn Sie von einem neuen Gerät aus auf Ihr Flipboard-Konto zugreifen oder sich das nächste Mal bei Flipboard anmelden, nachdem Sie sich von Ihrem Konto abgemeldet haben, werden Sie aufgefordert werden, ein neues Passwort für Ihr Konto zu erstellen.
Als weitere Vorsichtsmaßnahme haben wir alle Tokens getrennt, die für die Verbindung mit den Konten sämtlicher Drittanbieter verwendet wurden, und in Zusammenarbeit mit unseren Partnern alle digitalen Tokens ersetzt oder gegebenenfalls gelöscht.
Um auch in Zukunft weitere Vorfälle dieser Art zu verhindern, haben wir erweiterte Sicherheitsmaßnahmen ergriffen und suchen weiterhin nach zusätzlichen Möglichkeiten, um die Sicherheit unserer Systeme zu verbessern. Wir haben auch die Strafverfolgungsbehörden verständigt.
Betroffene Benutzer können nach Auskunft des Anbieters Flipboard ohne weitere Maßnahmen weiter verwenden. Wer sich jedoch das nächste Mal bei seinem Konto anmeldet, erhält den Hinweis, dass das Kennwort des Flipboard-Kontos aktualisiert werden muss.
Die Details des Hacks sind derzeit unbekannt. Der Vorfall zeigt aber erneut, dass inzwischen ein minimalistischer Ansatz unter Verzicht auf alle möglichen Apps, die Daten sammeln und/oder eine Anmeldung verlangen, vielleicht am Ende des Tages die klügere Entscheidung ist.
Ähnliche Artikel
Australisches Startup Canva gehackt, 139 Millionen Nutzerdaten abgezogen
Neuer ASUS-Hack über WebStorage-Cloud Speicherdienst
Drei US Antivirus-Hersteller angeblich gehackt
Erpressung: Hacker löschen Git-Quellcode-Repositories
Hack des Docker-Hubs – 190.000 betroffene Konten
Indischer Outsourcing-Gigant Wipro gehackt?
Anzeige
Wenn Du Dich dort angemeldet hättest, dann hätten sie Deine E-Mail-Adresse und ein Einweg-Passwort von Dir gehabt – wo wäre das Drama gewesen?
Oder verwendest Du das gleiche Passwort für mehrere Dienste? Dann würde ich verstehen warum Du froh bist Dich dort nicht angemeldet zu haben :)
Zu 'warum Du froh bist Dich dort nicht angemeldet zu haben'
Die Sache hat einen einfachen Hintergrund, der dir entgangen zu sein scheint. Wer sich bei jedem Dienst anmeldet, der einem irgendwann über den Weg läuft, agiert wie jemand, der durch die Stadt läuft und jedem seine Visitenkarte in die Hand drückt. Irgendwann verliert jeder den Überblick, wann er wo angemeldet ist. Die Leaks der letzten Jahre zeigen, dass kaum ein Anbieter sicher vor einem Hack oder Schludrian ist.
Ich muss meine berufliche E-Mail-Adresse nun leider im Impressum der Webseiten veröffentlichen. Da gibt es zwar Spam, aber in Datenbanken mit gesammelten Hackerdaten taucht diese bisher nicht auf. Aber die weiteren E-Mail-Adressen, die ich für Onlinekonten verwende, sind durch mindestens sechs Datenbrüche in den einschlägigen Datenbanken gelandet.
Und jetzt erzähle mir nicht, dass jeder Nutzer jedem Online-Konto ein eigenes Passwort zuweist. Ich variiere zwar stark, aber die Zahl der Kombinationen, die der typische Nutzer verwendet, ist begrenzt. Und dann kommt doch wieder einmal das 'wiederverwendete' Passwort vor. Zudem: Ich habe hier eine Online-Historie, die irgendwo 1993 beginnt. Zu der Zeit gab es noch nicht das Problem, dass einem die Konten täglich gehackt wurden – also wurden dort das gleiche oder ein sehr ähnliches Kennwort verwendet.
Lange Rede kurzer Sinn: Ich würde mich nie zur Aussage 'ich habe mein Passwort niemals in den letzten 26 Jahren bei zwei oder mehr Diensten verwendet, hinreißen lassen. Wenn Du das kannst, chapeau. Aber der Großteil der Leute wird damit überfordert sein.
Mir geht es nicht um "den Großteil der Leute", sondern Dich, Du hast ja diese Aussage hier für Dich getroffen, nicht für andere.
Stimmt, auch ich hatte früher schwächere Passwörter, aber nachdem das erste Mal eine Seite irgendwo gehackt wurde bin ich dazu übergegangen überall unterschiedliche Passwörter zu verwenden. Meine Adresse ist auch in diversen Hacks gelandet, aber immer nur mit Passwörtern die ich sonst nirgendwo verwende. Und so ähnlich, dass die jemand helfen, sind meine Passwörter auch nicht.
Entsprechend sehe ich einfach nicht wo da die Gefahr für Dich war. Klar, erschreckend viele Leute benutzen überall das gleiche Passwort, die haben ein Problem, aber ich seh halt nicht das Du jemand bist der das (noch) tut.
Flipboard höre/lese ich heute zum ersten Mal, die App ist mir bisher nicht bekannt gewesen.
Wie Günter auch schon festgestellt hat, man muss nicht jeden neuen Kram nutzen.
Je weniger, je besser = Datensparsamkeit :-)