Aggiornato il 28 maggio 2019

Flipboard ha di recente identificato e affrontato un incidente di sicurezza che riguardava un sottogruppo di dati degli utenti. Sappiamo bene che la trasparenza è importante per la nostra comunità e abbiamo creato questa pagina per condividere con voi quanto abbiamo appreso dalle indagini, le misure che sono state prese e presentare le misure ulteriori che gli utenti possono intraprendere.

 

Cosa è successo

Recentemente abbiamo identificato un accesso non autorizzato ad alcuni database contenenti determinate informazioni degli account degli utenti di Flipboard, incluse le credenziali dell’account. In risposta a questa scoperta abbiamo immediatamente avviato delle indagini e una ditta esterna esperta nel campo della sicurezza ci ha assistito nel loro svolgimento. I risultati delle indagini  indicano che una persona non autorizzata ha eseguito l’accesso e ha ottenuto potenzialmente copie di alcuni database che contengono informazioni degli utenti Flipboard tra il 2 giugno 2018 e il 23 marzo 2019, e tra il 21 e il 22 aprile 2019.

 

Quali informazioni sono rimaste coinvolte 

I database presi in considerazione contenevano alcune delle informazioni degli account degli utenti, compreso nome, nome utente Flipboard, password protette da crittografia e l’indirizzo email.

Flipboard ha sempre protetto crittograficamente le password, utilizzando una tecnica chiamata dagli esperti nel settore sicurezza come “salted hashing”. Cifrare le password tramite hashing offre il vantaggio di non doverle mai salvare in formato testo. Usare inoltre salt unici per ogni password in combinazione con gli algoritmi di hashing, rende molto difficile e richiede significative risorse informatiche per decifrare le password crittate. Se gli utenti hanno creato o cambiato la password dopo il 14 marzo 2012, questa è stata cifrata con una funzione che si chiama bcrypt. Se non è stata cambiata la password dopo tale data, essa era stata cifrata con salt unico SHA-1.

Inoltre, se gli utenti hanno connesso il loro account Flipboard ad un terzo account, inclusi account social media, nei database potevano essere presenti token digitali, usati per connettere il loro account Flipboard a tale account di terzi. Non abbiamo riscontrato alcuna prova che persone non autorizzate abbiano avuto accesso agli account di terzi connessi all’account Flipboard degli utenti. Come misura precauzionale abbiamo sostituito o cancellato tutti i token digitali.

Sottolineiamo che non raccogliamo dagli utenti i numeri di codice previdenziale o altri identificativi emessi da autorità governative, numeri di conti bancari, carte di credito, o altre informazioni finanziarie.

 

Cosa stiamo facendo

Come misura precauzionale, abbiamo reimpostato tutte le password degli utenti, anche se queste erano protette in maniera crittata e non tutte le informazioni degli account degli utenti erano coinvolte. Potete continuare ad usare Flipboard dai dispositivi con i quali siete già collegati. Quando accedete al vostro account Flipboard da un nuovo dispositivo, o quando vi ricollegate a Flipboard dopo esservi disconnessi dal vostro account, vi verrà chiesto di creare una nuova password.

Un’altra misura precauzionale è stata disconnettere tutti i token usati per connettersi agli account di terzi; in collaborazione con i nostri partner abbiamo sostituito tutti i token digitali o li abbiamo cancellati qualora sia stato necessario.

Per prevenire inoltre che qualcosa di simile possa accadere in futuro, abbiamo implementato migliori misure di sicurezza e continuiamo a ricercare modi ulteriori per rinforzare la sicurezza dei nostri sistemi. Abbiamo anche informato le autorità di pubblica sicurezza.

 

Cosa potete fare

È possibile continuare a usare Flipboard senza necessità di ulteriori azioni. La prossima volta che vi connetterete al vostro account Flipboard noterete che la password deve essere aggiornata. Ci saranno indicazioni sulla nostra pagina di supporto (seguire il link qui sotto) che spiega come creare una nuova password. Inoltre, se utilizzate lo stesso nome utente e password creati per Flipboard per altri servizi online, vi consigliamo di modificare anche tali password.

Se connettete il vostro account Flipboard ad un account di terzi per vederne il contenuto, in alcuni casi noterete che è necessario riconnetterlo. Sulla nostra pagina di supporto si possono trovare le istruzioni per farlo.

Dove trovare informazioni aggiuntive.
Siamo spiacenti per l’incidente che si è verificato. Per ulteriori informazioni stiamo fornendo delle risposte a delle domande frequenti in merito a questo incidente nella parte sottostante di questa pagina. Se avete bisogno di ulteriore aiuto, si prega di Contattare il nostro Help Center.

 

===

DOMANDE FREQUENTI

 

Le informazioni del mio utente Flipboard sono rimaste coinvolte nell’incidente?

Non tutte le informazioni degli account degli utenti di Flipboard sono rimaste coinvolte nell’incidente. Stiamo individuando tutti gli account coinvolti e come misura precauzionale, abbiamo resettato tutte le password utenti e sostituito o annullato tutti i token digitali.

 

Quali informazioni possono essere state coinvolte in questo incidente?

I seguenti tipi di informazioni erano contenuti nei database coinvolti:

  • Nomi utente;
  • Password crittate e con salt unico; e
  • Per alcuni utenti Flipboard, gli indirizzi email e i token digitali che collegano gli account di terzi all’account dell’utente Flipboard.

La maggior parte delle password sono state crittate con hash tramite l’utility bcrypt. Per gli utenti Flipboard che non hanno eseguito l’accesso ai loro account dal 14 marzo 2012, le password erano protette con SHA-1 e con salt unici.

Se il vostro account Flipboard era connesso ad account di terze parti, inclusi account social media, nei database potevano contenere token digitali usati per connettere l’account Flipboard a tale account di terzi. Come misura precauzionale, abbiamo sostituito o cancellato tutti i token  digitali per evitare degli usi scorretti.

Sottolineiamo che Flipboard non raccoglie dagli utenti, e questo incidente non ha coinvolto, identificativi emessi dal governo (come i numeri previdenziali o i numeri di patente di guida), né carte di pagamento, conti bancari o altre informazioni finanziarie.

 

Che misure avete preso per evitare che questi incidenti si ripetano?

Per prevenire che incidenti simili possano verificarsi in futuro, abbiamo implementato migliori misure di sicurezza e continuiamo a ricercare nuovi modi per rinforzare la sicurezza dei nostri sistemi. Per ragioni di sicurezza, non possiamo divulgare dettagli specifici.

 

Cosa è una password crittata con hash?

Quando una password è crittata tramite hashing, viene trasformata tramite algoritmi di crittografia in una riga di caratteri all’apparenza casuale. Questa è una funzione monodirezionale che non può essere decrittata con una chiave specifica. Il beneficio dell’hashing delle password offre il vantaggio di non dover mai salvare le password in formato di testo. Inoltre, usare un salt unico per ogni password usata in combinazione con gli algoritmi di hashing, rende molto difficile e richiede significative risorse informatiche per craccare queste password.

 

Cosa è “bcrypt”?

Bcrypt è una funzione di hashing adattiva delle password che usa un algoritmo crittografico con cifratura e altre caratteristiche di sicurezza, compresi turni multipli di calcolo, per fornire protezione avanzata contro la decifrazione delle password.

 

Cosa è la aggiunta di dati salt ad una password?

La aggiunta di salt a una password fornisce un livello di sicurezza addizionale, specificamente contro attacchi di forza bruta. I dati salt usati da Flipboard sono unici per ciascun utente.

 

Cos’è un token digitale?

Gli utenti Flipboard possono collegare gli account Flipboard ai loro account di terzi, compresi account di social media e publisher. All’eseguire di tale connessione si crea un token digitale. Il token digitale crea una connessione esclusiva tra l’account Flipboard di un utente e l’account del social media che permette agli utenti di vedere  il contenuto da terze parti su Flipboard. In alcuni casi, permette anche agli utenti di fare commenti o di condividere articoli da Flipboard sui loro account terzi. Flipboard ha sostituito o cancellato tutti i token digitali dei propri utenti, dato che alcuni di tali token erano contenuti nei database coinvolti. Agliutenti Flipboard può venire richiesto di autenticare o riconnettere il proprio account Flipboard, di creare un nuovo token digitale e di controllare nuovamente il contenuto da questi account.

 

Quando vi siete resi conto dell’incidente?

Il 23 aprile 2019, il nostro team di ingegneri informatici ha identificato l’attività non autorizzata verificatasi nel periodo 21-22 aprile 2019. In quel momento stavamo indagando su attività sospette che si erano verificate il 23 marzo dello stesso anno.

 

Come avete appreso dell’incidente?

Il nostro team di ingegneri informatici ha appreso dell’incidente dopo aver identificato attività sospette nell’ambiente ove risiedono i database.

 

Sono stati coinvolti tutti gli account degli utenti Flipboard?

No. Non tutti gli account degli utenti di Flipboard sono stati coinvolti nell’incidente. Comunque, come precauzione, abbiamo resettato tutte le password degli utenti. Se avete un account Flipboard, Flipboard ha già inviato una comunicazione via email all’indirizzo di posta elettronica associato con l’account. L’oggetto dell’email era “Comunicazione di sicurezza Flipboard”.

 

Quanti account sono stati coinvolti?

Stiamo ancora lavorando per verificare il numero totale. Sappiamo che non sono stati compromessi tutti gli account.

 

Se uso Twitter/Google/Samsung/Facebook per accedere al mio account Flipboard, posso continuare a farlo? Devo resettare la password?

Se usate Twitter/Google/Samsung/Facebook per accedere al vostro account Flipboard, potete continuare a farlo. La vostra password non è memorizzata nei nostri database e i token digitali sono stati rotati.

 

Avete comunicato l’incidente alle forze dell’ordine?

Sì, abbiamo informato le autorità di pubblica sicurezza.

 

Se i miei dati sono rimasti coinvolti, quali rischi corro? Corro il rischio che venga rubata la mia identità?

Flipboard non raccoglie dagli utenti, e questo incidente non ha coinvolto, informazioni personali sensibili come identificativi emessi da enti pubblici (come i numeri previdenziali o i numeri di patente di guida), o carte di pagamenti, conti bancari o altre informazioni finanziarie.

Come precauzione, raccomandiamo di cambiare tutte le password usate per altri account se sono le stesse o simili alle password Flipboard. Dovete cambiare regolarmente tutte le password e non usare le stesse password o password simili per diversi account online.

 

Posso usare i token digitali per accedere agli account di terzi?

Flipboard ha sostituito o cancellato tutti i token digitali. Questi token non sono più validi e non possono essere usati. Prima della sostituzione o cancellazione dei token digitali, l’accesso che le persone non autorizzate possono aver avuto agli account di terzi connessi agli account Flipboard varia a seconda del tipo di account connesso nonché dei permessi che l’utente ha assegnato al momento del collegamento con l’account Flipboard dell’utente, ma la persona non autorizzata potrebbe essere stata in grado di leggere o postare messaggi sull’account e di accedere ad alcune delle informazioni dell’account, come nome utente, informazioni di profilo, post sul sito e connessioni. In alcuni casi, tale accesso ha anche permesso modifiche a queste informazioni, come invitare nuove persone a collegarsi. Non abbiamo riscontrato nessuna prova che la persona non autorizzata abbia avuto accesso all’account di terzi connesso all’account Flipboard.

 

È sicuro continuare a usare il mio account Flipboard?

Si. Abbiamo resettato tutte le password e cancellato tutti i token digitali associati con gli account utente in modo da poter continuare a usare Flipboard in modo sicuro.

Quando vorrete accedere all’account Flipboard, noterete che la password dell’account non è più valida. Se usate un indirizzo di posta elettronica per accedere all’account Flipboard, vi abbiamo inviato una email con le istruzioni per creare una nuova password e ricollegare i vostri account di social media.

Gli utenti che per accedere all’account Flipboard usano account Twitter, Facebook, Samsung o Google, non devono cambiare la password e il processo di login rimane sicuro.

 

Come eseguo il reset della mia password?

Se siete collegati al web, potete ripristinare password a https://accounts.flipboard.com/. Preghiamo di notare che per ripristinare la password, bisogna aver accesso all’indirizzo di posta elettronica associato con l’account Flipboard.

Se siete collegati a un dispositivo mobile, vi preghiamo di seguire i passaggi indicati di seguito nella app di Flipboard:

Per telefoni Android:

  1. Dalla pagina di login, selezionate Get Started quindi Login nell’angolo superiore destro;
  2. Seleziona Email e digitate l’indirizzo di posta elettronica associato con l’account Flipboard
  3. Selezionate Forgot username or password? per aprire la pagina Account Help;
  4. Selezionate Forgot Password?;
  5. Digitate l’indirizzo di posta elettronica;
  6. Toccate Send.

Per i telefoni Apple:

  1. Dalla pagina di login, selezionare Login nell’angolo superiore destro e quindi Login with email;
  2. Selezionate Forgot your password? per aprire la pagina Account Help;
  3. Selezionate Forgot Password?;
  4. Digitate l’indirizzo di posta elettronica;
  5. Toccate Send.

Per gli Apple iPad:

  1. Iniziate selezionando Avete già un account? Log In;
  2. Selezionate Need Help? per aprire la pagina Account Help;
  3. Selezionate Forgot Password?;
  4. Digitate l’indirizzo di posta elettronica;
  5. Toccate Send.

Per i tablet Android:

  1. Iniziate selezionando Existing Account? Tap to log in;
  2. Selezionate Email e digitate l’indirizzo di posta elettronica associato con l’account Flipboard;
  3. Selezionate Forgot username or password? per aprire la pagina Account Help;
  4. Selezionate Forgot Password?;
  5. Digitate l’indirizzo di posta elettronica;
  6. Toccate Send.

Assicuratevi di completare tempestivamente il ripristino della password dato che il link scade dopo poco tempo. Se il link per il ripristino della password non funziona più, dovete richiedere una email di ripristino della password. Raccomandiamo di aggiornare la password regolarmente per garantire la sicurezza dell’account.

Se avete bisogno di ulteriore aiuto vi preghiamo di selezionare Contact Us sulla pagina dell’Account o di inviare un email a questo indirizzo.

 

Come ricollego il mio account Flipboard ai miei account di social media?

Flipboard ha sostituito o cancellato tutti i token digitali dei propri dati utenti, dato che alcuni di tali token erano contenuti nei database coinvolti. Nella maggioranza dei casi, questo non influisce sull’accesso al vostro conto, ma esiste la possibilità che dobbiate ripristinare la connessione per vedere il feed.

Ecco come riconnettere l’account di Social Media a Flipboard per iOS.

1. Toccate l’etichetta Following;

2. Selezionate Accounts;

3. Selezionate il servizio che volete riconnettere;

4. Immettete le credenziali di accesso all’account di Social Media.

Nota: Sugli iPad, toccate il “Nastro rosso” > selezionate Following > selezionate Accounts.

Ecco come riconnettere l’account di Social Media a Flipboard per Android.

1. Toccate l’etichetta Profile;

2. Toccate Settings;

3. Selezionate Accounts;

4. Selezionate il servizio che volete riconnettere;

5. Immettete le credenziali di accesso all’account di Social Media.

Nota: Sui tablet Android, aprite la pagina del vostro profilo > toccate Settings > selezionate Accounts.

Avete ora una nuova sessione con il vostro account di social media e potete tornare a usarlo normalmente.

Se avete bisogno di ulteriore aiuto, selezionare Contact al nostro Help Center.

 

Devo anche resettare le password per i miei altri account?

La vostra password Flipboard era protetta crittograficamente. Per eccesso di cautela, raccomandiamo di cambiare la vostra password per tutti i siti o account in cui avete usato le stesse informazioni per eseguire l’accesso. È una best practice usare password differenti per ciascun servizio.

 

Come posso esser sicuro che la comunicazione via posta elettronica ricevuta proviene da Flipboard?

Vogliamo che siate sicuri che la comunicazione ricevuta via posta elettronica provenga da Flipboard. Questa email deve provenire dall’indirizzo security-notification@flipboard.com. Vogliamo anche che sappiate che quando altre società hanno eseguito comunicazioni come queste, alcune persone le hanno usate per indurre in modo tendenzioso altri a fornire informazioni personali tramite l’uso di collegamenti ipertestuali a siti web fasulli (phishing) o impersonando altri di cui avevano fiducia (social engineering). Preghiamo di notare che le email ricevute da noi non contengono allegati o richieste di informazioni, e tutti i collegamenti presenti rinviano solo a questa pagina.