Derzeit erhalten einige Nutzer der sozialen Nachrichten-App Flipboard E-Mails über einen Sicherheitsvorfall. Darin teilen die Betreiber des Dienstes mit, dass ein Unbekannter Zugriff auf die Datenbank mit Nutzerdaten hatte und diese womöglich kopiert hat. Darin befinden sich beispielsweise Nutzernamen und Passwörter. Daten von Bankkonten und Kreditkarten sollen nicht betroffen sein.

Mehrere Monate im System

Einem offiziellen Statement von Flipboard zufolge hatte ein unbefugter Dritter im Zeitraum von Juni 2018 bis April 2019 Zugriff auf die Datenbank. Somit konnte er Benutzernamen, Passwörter und in einigen Fällen auch E-Mail-Adressen und digitale Tokens, die Konten von Drittanbietern mit einem Flipboard-Konto verbinden, einsehen. Der Zwischenfall wurde erst am 23. April 2019 bemerkt.

Ob alle Flipboad-Nutzer von dem Vorfall betroffen sind, ist derzeit nicht bekannt. Mittlerweile haben die Verantwortlichen alle Passwörter und Tokens zurückgesetzt. Wer sich auf einem neuen System anmeldet, muss ein neues Kennwort vergeben. Wer sein Flipboard-Passwort auch bei anderen Online-Diensten einsetzt, sollte es aus Sicherheitsgründen auch dort zügig ändern.

Kennwörter geschützt

Die möglicherweise kopierten Passwörter liegen aber nicht im Klartext vor, versichert Flipboard. Sie sind mit einer Hash-Funktion behandelt und mit einer zusätzlichen Zufallszahl (Salt) verfremdet, sodass man sie grundsätzlich nicht rekonstruieren kann.

Bei seit 14. März 2012 erstellten oder geänderten Passwörtern soll dafür die momentan als sicher geltende bcrypt-Funktion zum Einsatz gekommen sein. Davor hat Flipboard das als unsicher geltende SHA-1 eingsetzt.

Wie der Zugriff auf die Datenbank möglich war, ist momentan noch ungeklärt. Derzeit arbeitet Flipboard den Fall auf. (des)