Tra il 2 giugno 2018 e il 23 marzo 2019, e tra il 21 e il 22 aprile 2019, una persona non autorizzata ha eseguito l’accesso e ha ottenuto potenzialmente copie di alcuni database che contengono informazioni degli utenti di Flipboard: ad ammetterlo è stata la stessa azienda, che sviluppa l'omonima app mobile per aggregare le news. L'app ha un bacino di 145 milioni di utenti nel mondo, ma al momento l'entità e la natura del breach sono sconosciuti, visto che le verifiche sono ancora in corso.
"Recentemente abbiamo identificato un accesso non autorizzato ad alcuni database contenenti determinate informazioni degli account degli utenti di Flipboard, incluse le credenziali dell’account", si legge nel comunicato ufficiale. "In risposta a questa scoperta abbiamo immediatamente avviato delle indagini e una ditta esterna esperta nel campo della sicurezza ci ha assistito nel loro svolgimento".
"I database presi in considerazione contenevano alcune delle informazioni degli account degli utenti, compreso nome, nome utente Flipboard, password protette da crittografia e l’indirizzo email", spiega ancora l'azienda. "Inoltre, se gli utenti hanno connesso il loro account Flipboard ad un terzo account, inclusi account social media, nei database potevano essere presenti token digitali, usati per connettere il loro account Flipboard a tale account di terzi. Non abbiamo riscontrato alcuna prova che persone non autorizzate abbiano avuto accesso agli account di terzi connessi all’account Flipboard degli utenti. Come misura precauzionale abbiamo sostituito o cancellato tutti i token digitali".
Flipboard ha comunque poi spiegato che tutte le password erano protette tramite cifratura, utilizzando una tecnica chiamata salted hashing, che rende molto difficile decifrarle, richiedendo significative risorse informatiche. "Come misura precauzionale, abbiamo reimpostato tutte le password degli utenti, anche se queste erano protette in maniera crittata e non tutte le informazioni degli account degli utenti erano coinvolte".
Flipboard starebbe già procedendo a inviare mail di avviso agli utenti coinvolti, in ogni caso, quando effettuerete il prossimo login da un nuovo dispositivo, o quando vi ricollegherete dopo esservi disconnessi dal vostro account, vi verrà chiesto di creare una nuova password come elemento di ulteriore sicurezza.