Aktualisiert am 28. Mai 2019
Flipboard hat kürzlich einen Sicherheitsvorfall identifiziert und behoben, der eine Teilmenge der Benutzerdaten betrifft. Wir wissen, dass Transparenz für unsere Gemeinschaft wichtig ist, und wir haben diese Seite erstellt, um das, was wir aus unseren Untersuchungen gelernt haben, zu teilen, über die von uns ergriffenen Maßnahmen zu informieren und aufzuzeigen, welche Schritte Benutzer diesbezüglich unternehmen können.
Was ist passiert?
Wir haben kürzlich einen nicht autorisierten Zugriff auf einige unserer Datenbanken festgestellt, die die Kontoinformationen bestimmter Flipboard-Benutzer enthalten, einschließlich der Kontoanmeldeinformationen. Als Reaktion auf diese Entdeckung haben wir sofort eine Untersuchung eingeleitet und die Dienste einer externen Sicherheitsfirma in Anspruch genommen. Die Ergebnisse der Untersuchung zeigen, dass eine nicht autorisierte Person zwischen dem 2. Juni 2018 und dem 23. März 2019 sowie am 21. und 22. April 2019 auf bestimmte Datenbanken mit Flipboard-Benutzerinformationen zugegriffen und möglicherweise Kopien derselben erstellt hat.
Welche Informationen waren betroffen?
Die betroffenen Datenbanken enthielten einige Kontoinformationen unserer Benutzer, einschließlich des Namens, des Flipboard-Benutzernamens, des kryptografisch geschützten Passworts und der E-Mail-Adresse.
Flipboard hat immer kryptografisch geschützte Passwörter verwendet, eine Technik, die von Sicherheitsexperten als “Salted Hashing” bezeichnet wird. Der Vorteil des Hashens von Passwörtern besteht darin, dass wir die Passwörter niemals im Klartext speichern müssen. Darüber hinaus wird es durch die Verwendung eines einzigartigen Salt für jedes Kennwort in Kombination mit den Hashing-Algorithmen äußerst schwierig, diese Kennwörter zu knacken, da man dafür erhebliche Rechnerressourcen benötigen würde. Wenn Benutzer ihr Passwort nach dem 14. März 2012 erstellt oder geändert haben, wird es mit einer Funktion namens bcrypt gehasht. Wenn Benutzer ihr Passwort seitdem nicht geändert haben, wird es mit einem einzigartigen Salt versehen und mit SHA-1 gehasht.
Wenn Benutzer ihr Flipboard-Konto mit einem Drittanbieter-Konto, einschließlich Social Media-Konten, verbunden haben, enthalten die Datenbanken darüber hinaus möglicherweise auch digitale Tokens, die dazu dienen, ihr Flipboard-Konto mit diesem Drittanbieter-Konto zu verbinden. Wir haben keine Beweise dafür gefunden, dass die nicht autorisierte Person auf Konten von Drittanbietern zugegriffen hat, die mit Flipboard-Konten von Benutzern verbunden sind. Vorsichtshalber haben wir alle digitalen Tokens ersetzt oder gelöscht.
Es ist uns wichtig, an dieser Stelle darauf hinzuweisen, dass wir keine Daten von Benutzern sammeln und von diesem Vorfall weder Sozialversicherungsnummern noch andere von den Behörden ausgestellte Ausweise, Bankkonten, Kreditkarten oder andere Finanzinformationen betroffen waren.
Was wir tun
Wir haben vorsichtshalber die Passwörter aller Benutzer zurückgesetzt, obwohl die Passwörter kryptografisch geschützt und auch nicht die Kontoinformationen aller Benutzer betroffen waren. Sie können Flipboard weiterhin auf Geräten verwenden, auf denen Sie bereits angemeldet sind. Wenn Sie von einem neuen Gerät aus auf Ihr Flipboard-Konto zugreifen oder sich das nächste Mal bei Flipboard anmelden, nachdem Sie sich von Ihrem Konto abgemeldet haben, werden Sie aufgefordert werden, ein neues Passwort für Ihr Konto zu erstellen.
Als weitere Vorsichtsmaßnahme haben wir alle Tokens getrennt, die für die Verbindung mit den Konten sämtlicher Drittanbieter verwendet wurden, und in Zusammenarbeit mit unseren Partnern alle digitalen Tokens ersetzt oder gegebenenfalls gelöscht.
Um auch in Zukunft weitere Vorfälle dieser Art zu verhindern, haben wir erweiterte Sicherheitsmaßnahmen ergriffen und suchen weiterhin nach zusätzlichen Möglichkeiten, um die Sicherheit unserer Systeme zu verbessern. Wir haben auch die Strafverfolgungsbehörden verständigt.
Was Sie tun können
Sie können Flipboard ohne weitere Maßnahmen weiter verwenden. Wenn Sie sich jedoch das nächste Mal bei Ihrem Konto anmelden, werden Sie darauf hingewiesen werden, dass das Kennwort Ihres Flipboard-Kontos aktualisiert werden muss. Anweisungen zum Erstellen eines neuen Passworts finden Sie auf unserer Support-Seite (unten verlinkt). Wenn Sie denselben Benutzernamen und dasselbe Passwort, die Sie für Flipboard erstellt haben, auch für einen anderen Onlinedienst verwenden, empfehlen wir Ihnen, auch dort Ihr Passwort zu ändern.
Wenn Sie Ihr Flipboard-Konto mit einem Konto eines Drittanbieters verbunden haben, um dessen Inhalt sehen zu können, werden Sie möglicherweise in einigen Fällen feststellen, dass Sie die Verbindung wiederherstellen müssen. Auf unserer Support-Seite finden Sie auch Anweisungen, wie Sie dies tun können.
Weitere Informationen
Es tut uns sehr leid, dass es zu diesem Vorfall gekommen ist. Für weitere Informationen bieten wir weiter unten auf dieser Seite Antworten auf häufig gestellte Fragen zu dem Vorfall. Wenn Sie weitere Hilfe benötigen, klicken Sie bitte auf Kontakt in unserem Help Center.
===
HÄUFIG GESTELLTE FRAGEN (FAQs)
Sind meine Flipboard-Benutzerdaten von dem Vorfall betroffen?
Es waren nicht die Kontoinformationen aller Flipboard-Benutzer von dem Vorfall betroffen. Wir sind noch dabei, die betroffenen Konten zu identifizieren, und als Vorsichtsmaßnahme setzen wir alle Benutzerpasswörter zurück und haben alle digitalen Tokens ersetzt oder gelöscht.
Welche Daten könnten von diesem Vorfall betroffen sein?
Die folgenden Arten von Daten waren in der betroffenen Datenbank enthalten:
- Benutzernamen;
- Gehashte und einzigartig „gesalzene“ Passwörter; und
- im Falle einiger Flipboard-Benutzer E-Mail-Adressen und digitale Tokens, die Konten eines Drittanbieters mit dem Flipboard-Konto des Benutzers verbunden haben.
Der Großteil der Passwörter war mit einer Funktion namens bcrypt gehasht. Für Flipboard-Benutzer, die sich seit dem 14. März 2012 nicht in Ihr Konto eingeloggt haben, wurden die Passwörter mit SHA-1 geschützt und mit einem einzigartigen Salt versehen.
Wenn Sie Ihr Flipboard-Konto mit einem Konto eines Drittanbieters, einschließlich Social-Media-Konten, verbunden haben, könnten die Datenbanken digitale Tokens enthalten haben, die verwendet werden, um Ihr Flipboard-Konto mit diesem Konto eines Drittanbieters zu verbinden. Als Vorsichtsmaßnahme haben wir alle digitalen Tokens ersetzt oder gelöscht, um jede Möglichkeit des Missbrauchs auszuschließen.
Es ist uns wichtig, an dieser Stelle darauf hinzuweisen, dass Flipboard von Benutzern keine Daten über von Behörden ausgestellte Identitätsausweise (wie z. B. Sozialversicherungsnummern oder Führerscheinnummern) oder Zahlungskarten, Bankkonten oder andere Finanzinformationen erfasst und solche Daten von diesem Vorfall nicht betroffen waren.
Was haben wir getan, um einen ähnlichen Vorfall in Zukunft zu vermeiden?
Um zu vermeiden, dass sich in Zukunft ein ähnlicher Vorfall ereignet, haben wir verstärkte Sicherheitsmaßnahmen implementiert und suchen weiterhin nach zusätzlichen Möglichkeiten, um die Sicherheit unserer Systeme zu verstärken. Aus Sicherheitsgründen gehen wir hier nicht auf besondere Einzelheiten ein.
Was ist ein gehashtes Passwort?
Wenn ein Passwort gehasht wird, wird es mit Hilfe kryptographischer Algorithmen in eine zufällig aussehende Zeichenkette verwandelt. Dabei handelt es sich um eine Einwegfunktion, die nicht mit einem spezifischen Schlüssel entschlüsselt werden kann. Der Vorteil des Hashens von Passwörtern besteht darin, dass wir die Passwörter niemals im Klartext speichern müssen. Darüber hinaus wird es durch die Verwendung eines einzigartigen Salt für jedes Passwort in Kombination mit den Hashing-Algorithmen äußerst schwierig, diese Passwörter zu knacken, da man dafür erhebliche Rechnerressourcen benötigen würde.
Was ist „bcrypt“?
Bcrypt ist ein adaptiver Mechanismus zum Passwort-Hashing, der einen kryptographischen Blockverschlüsselungsalgorithmus und andere Sicherheitsfunktionen, darunter multiple Berechnungsrunden, verwendet, um einen größeren Schutz gegen das Knacken von Passwörtern zu bieten.
Was ist Passwort-Salting?
„Salt“ zu einem gehashten Passwort hinzuzufügen bietet eine weitere Sicherheitsschicht, insbesondere gegen Brute-Force-Angriffe. Die von Flipboard verwendeten Salts waren für jeden Benutzer einzigartig.
Was ist ein digitales Token?
Flipboard-Benutzer sind in der Lage, ihre Flipboard-Konten mit ihren Konten bei Drittanbietern, einschließlich Social-Media- und Publisher-Konten, zu verbinden. Wenn Sie eine solche Verbindung herstellen, wird ein digitales Token erstellt. Das digitale Token stellt eine einzigartige Verbindung zwischen dem Flipboard-Konto eines Benutzers und einem Social-Media-Konto her, die es Benutzern ermöglicht, Inhalte von solchen Dritten auf Flipboard anzuzeigen. In manchen Fällen ermöglicht es Benutzern außerdem, Artikel von Flipboard auf ihren Konten bei Drittanbietern zu kommentieren oder zu teilen. Flipboard hat alle digitalen Tokens seiner Benutzer ersetzt oder gelöscht, da einige der Tokens in betroffenen Datenbanken enthalten waren. Eventuell müssen Flipboard-Benutzer ihr Flipboard-Konto nochmals authentifizieren oder neu verbinden, um ein neues digitales Token zu erstellen und die Inhalte dieser Konten wieder ansehen zu können.
Wann haben Sie diesen Vorfall bemerkt?
Am 23. April 2019 hat unser technisches Team die unbefugte Aktivität vom 21. und 22. April 2019 identifiziert. Zu diesem Zeitpunkt untersuchten wir verdächtige Aktivitäten, die am 23. März 2019 stattgefunden haben.
Wie haben Sie von diesem Vorfall erfahren?
Unser technisches Team hat den Vorfall bemerkt, nachdem es verdächtige Aktivitäten in der Umgebung der Datenbanken festgestellt hat.
Waren alle Flipboard-Benutzerkonten betroffen?
Nein, es waren nicht alle Flipboard-Benutzerkonten von dem Vorfall betroffen, jedoch haben wir als Vorsichtsmaßnahme alle Passwörter von Benutzern zurückgesetzt. Wenn Sie ein Flipboard-Konto haben, hat Ihnen Flipboard per E-Mail eine Mitteilung an die E-Mail-Adresse geschickt, die mit Ihrem Flipboard-Konto verbunden ist. Die E-Mail enthielt die Betreffzeile „Flipboard-Sicherheitsmitteilung“.
Wieviele Konten waren betroffen?
Wie sind noch dabei, die genaue Anzahl zu ermitteln. Wir wissen, dass nicht alle Konten betroffen waren.
Wenn ich Twitter/Google/Samsung/Facebook verwende, um mich in mein Flipboard-Konto einzuloggen, kann ich dies weiterhin tun?
Wenn Sie Twitter/Google/Samsung/Facebook verwenden, um sich in Ihr Flipboard-Konto einzuloggen, können Sie dies weiterhin so handhaben. Ihr Passwort wird nicht in unserer Datenbank gespeichert und wir haben die digitalen Tokens rotiert.
Haben Sie diesen Vorfall den Strafverfolgungsbehörden gemeldet?
Ja, wir haben die Strafverfolgungsbehörden benachrichtigt.
Wenn meine Daten betroffen waren, welche Risiken bestehen für mich? Könnte meine Identität gestohlen werden?
Flipboard erfasst keine sensiblen Daten von Benutzern wie Daten über von Behörden ausgestellte Identitätsausweise (wie z. B. Sozialversicherungsnummern oder Führerscheinnummern) oder Zahlungskarten, Bankkonten oder andere Finanzinformationen, und von diesem Vorfall sind keine solchen Daten betroffen.
Als Vorsichtsmaßnahme empfehlen wir Ihnen, Passwörter für andere Konten zu ändern, wenn Sie dafür das gleiche Passwort wie für das Flipboard-Konto oder ein ähnliches Passwort verwenden. Sie sollten alle Passwörter regelmäßig ändern und dieselben oder ähnliche Passwörter nicht für unterschiedliche Online-Konten verwenden.
Könnten die digitalen Tokens verwendet werden, um auf meine Konten bei Drittanbietern zuzugreifen?
Flipboard hat alle digitalen Tokens ersetzt oder gelöscht. Diese Tokens sind nicht mehr gültig und können daher nicht mehr missbraucht werden. Bevor die digitalen Tokens ersetzt oder gelöscht wurden, hängt der Zugriff, den die unbefugte Person auf die mit Flipboard-Konten verbundenen Konten von Drittanbietern gehabt haben kann, von der Art des verlinkten Kontos sowie von den Genehmigungen, die der Benutzer bei der Verlinkung mit dem Flipboard-Konto des Benutzers erteilt hat, ab, jedoch wurde es der unbefugten Person möglicherweise erlaubt, über das Konto zu posten und Nachrichten zu lesen sowie auf einige Konteninformationen des Benutzers zuzugreifen, wie z. B. Benutzername, Profilinformationen, Posts auf der Seite und Links. In einigen Fällen hat dieser Zugriff auch Änderungen dieser Informationen ermöglicht, wie z. B. Freundschaftsanfragen zu versenden. Wir haben keine Nachweise dafür gefunden, dass die unbefugte Person auf Konten von Drittanbietern zugegriffen hat, die mit Ihren Flipboard-Konten verbunden sind.
Ist es sicher, mein Flipboard-Konto weiterhin zu verwenden?
Ja. Wir haben alle Passwörter von Benutzern zurückgesetzt und alle digitalen Tokens gelöscht, die mit Benutzerkonten verbunden waren, daher können Sie Flipboard weiterhin sicher verwenden.
Wenn Sie versuchen, sich in Ihr Flipboard-Konto einzuloggen, werden Sie feststellen, dass Ihr Passwort für Ihr Flipboard-Konto nicht mehr gültig ist. Wenn Sie eine E-Mail-Adresse verwenden, um sich in Ihr Flipboard-Konto einzuloggen, haben wir Ihnen eine E-Mail mit Anweisungen darüber, wie Sie ein neues Passwort erstellen und sich wieder mit Ihren Social-Media-Konten verlinken können, zugesandt.
Wenn Sie Ihr Twitter-, Facebook-, Samsung- oder Google-Konto verwenden, um auf Ihr Flipboard-Konto zuzugreifen, ist Ihr Login-Verfahren weiterhin sicher und eine Änderung des Passworts ist nicht erforderlich.
Wie setze ich mein Passwort zurück?
Wenn Sie im Internet sind, können Sie Ihr Passwort auf https://accounts.flipboard.com/ zurücksetzen. Bitte denken Sie daran, dass Sie Zugriff auf die E-Mail-Adresse benötigen, die mit Ihrem Flipboard-Konto verbunden ist, damit Sie Ihr Passwort zurücksetzen können.
Mit einem Mobilgerät folgen Sie bitte diesen Schritten in der Flipboard-App:
Für Android-Telefone:
- Auf der Login-Seite tippen Sie auf Beginnen, dann auf Login in der rechten oberen Ecke;
- Tippen Sie auf E-Mail und geben Sie Ihre mit Flipboard verbundene E-Mail-Adresse ein;
- Tippen Sie auf Benutzernamen oder Passwort vergessen?, um die Hilfe-Seite zu öffnen;
- Tippen Sie auf Passwort vergessen?;
- Geben Sie die E-Mail-Adresse für Ihr Konto ein;
- Tippen Sie auf Senden.
Für Apple-Telefone:
- Auf der Login-Seite tippen Sie auf Login in der oberen rechten Ecke, dann auf Login mit E-Mail;
- Tippen Sie auf Passwort vergessen?, um die Hilfe-Seite zu öffnen;
- Tippen Sie auf Passwort vergessen?;
- Geben Sie die E-Mail-Adresse für Ihr Konto ein;
- Tippen Sie auf Senden.
Apple iPad:
- Tippen Sie auf Haben Sie schon ein Konto? Login;
- Tippen Sie auf Brauchen Sie Hilfe? Um die Hilfe-Seite zu öffnen;
- Tippen Sie auf Passwort vergessen?;
- Geben Sie die E-Mail-Adresse für Ihr Konto ein;
- Tippen Sie auf Senden.
Android-Tablets:
- Tippen Sie auf Bestehendes Konto? Zum Einloggen antippen;
- Tippen Sie auf E-Mail und geben Sie die mit Flipboard verbundene E-Mail-Adresse ein;
- Tippen Sie auf Benutzernamen oder Passwort vergessen?, um die Hilfe-Seite zu öffnen;
- Tippen Sie auf Passwort vergessen?;
- Geben Sie die E-Mail-Adresse für Ihr Konto ein;
- Tippen Sie auf Senden.
Führen Sie das Zurücksetzen des Passwortes unbedingt bald durch, da der Link nach einiger Zeit abläuft. Funktioniert der Link zum Zurücksetzen des Passwortes nicht mehr, können Sie nochmals eine E-Mail zum Zurücksetzen des Passwortes versenden. Wir empfehlen Ihnen, Ihr Passwort von Zeit zu Zeit zu aktualisieren, um die Sicherheit Ihres Kontos zu gewährleisten.
Wenn Sie weitere Hilfe benötigen, klicken Sie bitte auf Kontakt auf der Hilfe-Seite oder senden Sie uns hier eine E-Mail.
Wie verbinde ich mein Flipboard-Konto wieder mit meinen Social-Media-Konten?
Flipboard hat alle digitalen Tokens seiner Benutzer ersetzt oder gelöscht, da einige dieser Tokens in den betroffenen Datenbanken enthalten waren. In der Mehrzahl der Fälle hat dies keinen Einfluss auf Ihren Zugang, aber es besteht die Möglichkeit, dass Sie die Verbindung neu herstellen müssen, um Ihren Feed ansehen zu können.
Im Folgenden wird für iOS beschrieben, wie Sie Ihr Social-Media-Konto wieder mit Flipboard verbinden können:
- Tippen Sie auf die Schaltfläche Folgen;
- Tippen Sie auf Konten;
- Tippen Sie den Dienst an, mit dem Sie sich neu verbinden möchten;
- Geben Sie die Login-Daten für Ihr Social-Media-Konto ein.
Hinweis: Auf dem iPad tippen Sie auf die „rote Schleife“ > auf Folgen > auf Konten.
Im Folgenden wird für Android beschrieben, wie Sie Ihr Social-Media-Konto wieder mit Flipboard verbinden können:
- Tippen Sie auf die Schaltfläche Profil;
- Tippen Sie auf Einstellungen;
- Tippen Sie auf Konten;
- Tippen Sie den Dienst an, mit dem Sie sich neu verbinden möchten;
- Geben Sie die Login-Daten für Ihr Social-Media-Konto ein.
Hinweis: Auf dem Android-Tablet öffnen Sie Ihre Profil-Seite > tippen Sie auf Einstellungen > wählen Sie Konten.
Nun haben Sie eine neue Sitzung auf Ihrem Social-Media-Konto gestartet und Sie können es wieder wie gewohnt verwenden.
Wenn Sie weitere Hilfe benötigen, klicken Sie bitte auf Kontakt in unserem Help Center.
Sollte ich auch die Passwörter für meine anderen Konten zurücksetzen?
Ihr Flipboard-Passwort war kryptographisch geschützt. Um aber ganz sicherzugehen, empfehlen wir Ihnen, Ihr Passwort auf jeder anderen Seite oder für jedes andere Konto zu ändern, für die bzw. für das Sie dieselben Login-Daten verwenden. Das Beste ist, für jeden Dienst ein anderes Passwort zu verwenden.
Woher weiß ich, dass die E-Mail-Mitteilung, die ich erhalten habe, von Flipboard ist?
Wir möchten, dass Sie sicher sein können, dass die E-Mail-Mitteilung, die Sie erhalten, von Flipboard stammt. Die E-Mail kommt von der folgenden Adresse: security-notification@flipboard.com. Sie sollten auch wissen, dass, wenn andere Firmen Mitteilungen wie diese versendet haben, es Leute gibt, die diese verwendet haben, um zu versuchen, Personen dazu zu bringen, durch die Nutzung von Links auf gefälschte Websites (Phishing) oder indem sie vorgaben, jemand zu sein, dem sie vertrauen (Social Engineering), Daten über sich zur Verfügung zu stellen. Wir weisen Sie darauf hin, dass die E-Mails, die Sie von uns erhalten, keine Anlagen oder Aufforderungen enthalten, Daten von Ihnen zur Verfügung zu stellen; etwaige Links bringen Sie nur auf diese Webseite zurück.