人気ニュースアグリゲーターFlipboardは、過去9ヶ月間にハッカーが複数回にわたりユーザーのパスワードにアクセスしたことを明らかにしました。TechCrunchの報道によると、Flipboardは今回の侵害を受けて、数百万人のユーザーのパスワードをリセットしました。

Flipboardは今週ウェブサイトに掲載した通知の中で、ハッカーが2つの異なる期間に「特定のデータベースにアクセスし、そのコピーを入手した可能性がある」と説明しています。最初の侵害は2018年6月2日から2019年3月23日の間に発生しました。2回目の侵害は今年4月21日から4月2日の間に発生し、侵入は4月23日に検知されました。

調査の結果、2018年6月2日から2019年3月23日と2019年4月21日から22日の間に、不正な人物がFlipboardユーザー情報を含む特定のデータベースにアクセスし、そのコピーを入手した可能性があることが分かりました。

ハッキングにより、Flipboardのユーザーアカウントに関連する様々な情報が漏洩しました。侵入者はユーザー名、パスワード、メールアドレス、そしてTwitterなどのサードパーティのソーシャルネットワークへの接続に使用されるトークンにアクセスできました。パスワードは2012年3月以降に更新されたものに限り、「ソルトハッシュ」で保護されていました。2012年3月以前のパスワードは、より弱いSHA-1関数でハッシュ化されていました。

サードパーティのアカウントトークンに関しては、Flipboardは「権限のない人物がユーザーのFlipboardアカウントに接続されたサードパーティのアカウントにアクセスした証拠は見つかっていない」と述べている。

Flipboardはすべてのデジタルトークンを置き換えまたは削除しました。これらのトークンは無効になったため、悪用されることはありません。デジタルトークンが置き換えまたは削除される前は、不正な人物がFlipboardアカウントにリンクされたサードパーティアカウントにアクセスできた可能性は、リンクされたアカウントの種類と、ユーザーがFlipboardアカウントにリンクする際に付与した権限によって異なります。

Flipboardは予防措置として全ユーザーのパスワードをリセットしたとしているが、すでにログインしているデバイスからは引き続きFlipboardを利用できる。新しいデバイスからログインする場合は、新しいパスワードを作成するように求められる。

Flipboardは、今回のセキュリティ侵害の影響を受けたのは「すべての」ユーザーではないとしていますが、具体的な範囲は明らかにしていません。同サービスの月間ユーザー数は約1億5000万人と推定されています。同社の開示情報全文は、こちらでご覧いただけます。

havebin.com を Google ニュース フィードに追加します。