Güvenlik Sorunu Şubat 2019: SSS
GÜNCELLEME: 13 Şubat 2019, 11:00 EST
(Burada bulunan orijinal versiyonundan tercüme edilmiştir)
Ne oldu?
8 Şubat 2019'da, yazılım ekibimiz belirli kullanıcı profili verilerini etkileyen potansiyel bir güvenlik sorunu keşfetti. Derhal, konunun niteliğini ve kapsamını anlamak için detaylı bir sistem incelemesi başlattık. Konunun detaylı incelenmesinde bize yardımcı olması için üçüncü parti bir uzmanlarlar çalıştık ve bu konuda kolluk kuvvetleriyle koordineli hareket etmekteyiz.
Bugüne kadar yaptığımız araştırmalara dayanarak, yetkisiz bir tarafın sistemimize erişim sağladığına ve 5 Temmuz 2018 tarihine yakın bir zamanda kısmi kullanıcı bilgilerine sahip olduğunu düşünüyoruz. Bu sorunun, kullanıcıların kullanıcı profillerini doldururken sağladıkları aşağıda listelenen belirli bilgileri etkilediği sonucuna vardık. Mühendislerimiz platformumuzu yakından takip ediyor ve bugüne kadar bu sorunun tekrarlandığına dair hiçbir kanıt bulamadık.
Önlem olarak, tüm kullanıcıların 500px hesap şifrelerini sıfırlıyoruz. Bir bildirim e-postası, etkilenen veri sahibi şifrelerini sıfırlamaya yönelik talimatlar sağlayacaktır.
Tüm kullanıcılar için, potansiyel risk sırasına göre öncelikli olan sistem çapında bir şifre sıfırlama işlemi devam etmektedir ve çoktan MD5 ile şifrelenmiş tüm şifreleri sıfırlamaya zorladık.
Hangi tür kullanıcı bilgileri etkilendi?
- 500px'de girilen adınız ve soyadınız
- 500px kullanıcı adınız
- 500px giriş bilgilerinizle ilişkili e-posta adresi
- Şifrenizin karıştırılmış hali, tek yönlü şifreleme algoritması kullanılarak karıştırılmış
- Varsa doğum tarihiniz
- Bulunduğunuz şehir, eyalet/il, ülke
- Cinsiyetiniz varsa
Etkilenip etkilenmediğimi nasıl bilebilirim?
5 Temmuz 2018 veya öncesinde bir 500px kullanıcısıysanız, bundan etkilendiniz..
Tüm kullanıcıları yerinde ve mobil bildirimlerde olduğu gibi e-posta yoluyla da bildirme sürecindeyiz, ancak etkilenen kullanıcıların hacmine bakıldığında, aldığınız bildirimlerde gecikmeler olabilir.
Doğrudan etkilenip etkilenmediğinize bakılmaksızın, söz konusu kişisel verilerin niteliği göz önüne alındığında, sizi bu konuda uyarıyoruz, böylece, bilgilerinizi bu sorunun bir sonucu olarak kimlik avı, spam ve diğer kötüye kullanım risklerine karşı korumaya yardımcı olacak adımlar atabilirsiniz. 500px hesap şifrenizle aynı veya benzer şifre kullandığınız diğer internet sitelerinde veya uygulamalarda şifrenizi değiştirmenizi öneririz.
Şifremi sıfırlamak için henüz bir e-posta almadım
Şu anda potansiyel risk açısından öncelik verilen tüm kullanıcı tabanımızı bildirmeye çalışıyoruz. Ancak, etkilenen kullanıcı miktarı göz önüne alındığında, bu görev en az bir gün sürecektir. Kullanıcılar, şifrelerini sıfırlama istemi içeren bir e-posta bildirimini farklı zamanlarda alabilirler. E-postayı henüz almadıysanız, şifrenizi sıfırlamanızı öneririz.
Geçmişte spam olarak 500px’den gelen e-postaları işaretlediyseniz bildirim e-postasını alamayabilirsiniz. Ne yazık ki, bu bizim tarafımızdan düzeltebileceğimiz bir sorun değildir (kullanıcılarımızın spam olarak gördükleri e-postalar almamasını sağlamak için). Bunun yerine, e-posta servis sağlayıcınızla epostaları tekrar almak için 500px.com'dan gelen e-postaları beyaz listeye almanız gerekir. İşlem, kullandığınız e-posta sağlayıcısına bağlı olarak farklılık gösterebilir.
Şifremi zaten sıfırladım. Tekrar yapmam gerekir mi?
Parolanızı 12 Şubat’ta saat 3 EST’den sonra sıfırlarsanız, tekrar sıfırlamanıza gerek yoktur. Ancak, isterseniz, şifrenizi buradan sıfırlayabilirsiniz.
Güvenlik konusunu ilk ne zaman öğrendiniz?
8 Şubat'ta, mühendislik ekibimiz potansiyel bir güvenlik sorununu öğrendi ve hemen araştırmaya başladı.
Bunu düzeltmek için ne yaptın?
- İlgili kişisel verilerin niteliği göz önüne alındığında, MD5 ile şifrelenmiş tüm şifrelerin sıfırlanmasını zorladık ve sistem genelinde bir şifre sıfırlama işlemi devam etmektedir.
- Sunucularımıza, veritabanlarımıza ve diğer hassas veri depolama hizmetlerine erişim izni verdik.
- Güvenlik sorunlarına karşı korunmak için hem halka açık hem de dahili kaynak kodumuzu izlemeye devam ettik ve devam ediyoruz.
- Web sitemizi, mobil uygulamalarımızı, dahili sistemlerimizi ve güvenlik işlemlerimizi daha da güvenli hale getirmek için siber güvenlik konusunda önde gelen uzmanlarla ortaklık çalışıyoruz.
- Dahili yazılım geliştirme sürecimizi değiştiriyoruz.
- Ağ altyapımızı yükseltmeye devam ediyoruz.
8 Şubat’taki ihlali öğrendiyseniz, neden şimdi duyuyorum?
İhlalin ayrıntılarını onaylamadan önce kullanıcılarımıza doğru bilgi vermemizi sağlamamız önemliydi. İlgili kişisel verilerin niteliği göz önüne alındığında, öncelikli endişelerimiz ve dolayısıyla öncelik sırasındaki faaliyetlerimiz aşağıdakileri sağlamaktı:
1) sistemimizin güvende olduğunu;
2) kullanıcılarımızın verileri daha fazla ihlal ve hesaplara yetkisiz erişimden korunmuştur;
3) bu doğru bilginin kullanıcılarımıza iletildiğini ve ardından halkla iletişimi takip ettiğini söyledi.
Şu anda potansiyel risk açışından öncelik verilen tüm kullanıcı tabanımızı bildirmeye çalışıyoruz. Ancak, etkilenen kullanıcı miktarı göz önüne alındığında, bu görev en az bir gün sürecektir. Bu ihlal, 5 Temmuz 2018 tarihinden sonra kayıtlı kullanıcıları etkilemese de, kullanıcılarımızın güvenliğini sağlamak için her türlü önlemi almak istiyoruz.
Hangi veriler alınmadı?
Şu anda, hesabınıza izinsiz giriş yapıldığına dair herhangi bir gösterge bulunmuyor ve herhangi bir alışveriş yapmak için kullanılıyorsa, kredi kartı bilgileri (kullanıcılarımızda depolanmayan) gibi kullanıcı profilinizle ilişkili diğer verilerin veya diğer hassas kişisel bilgilerin etkilendiğine dair hiçbir kanıt yok.
Kolluk kuvvetlerini uyardınız mı?
Soruşturmada ve sonraki adımlarda bize yardımcı olacak bir güvenlik firmasını elinde bulundurmanın yanı sıra, kolluk kuvvetlerini de uyardık.
Bunun bir daha olmayacağına nasıl güvenebiliriz?
İleriye dönük olarak, verilerinizi güvende tutmak için güvenlik önlemlerimizi geliştirmeye devam edeceğiz ve bu tür olayların tekrarlanmasını önlemeye yardımcı olacak ek önlemleri sistemimize dahil ediyoruz.
Ağ altyapımızı geliştirmeye devam ediyoruz. Son 12 ay boyunca, ağ altyapımızda önemli bir gelişme kaydettik - bu proje tamamlanmak üzere ve güvenlikte de önemli bir artış sağlayacak.
Sosyal bir hesapla giriş yaptıysam(Google+, Facebook), şifrem hala sizde mi?
Harici bir sosyal platformdan giriş yapan bir kullanıcı olarak, bizim platformumuzla hala bir şifre oluşturabilirsiniz, ancak Google+, Facebook veya sosyal giriş şifrelerinizi saklamayız. Bir sosyal hesap aracılığıyla giriş yaptığınızda, sunucularımızda depolanan bir oturum jetonu alıyoruz. Oturum jetonu sona erdiğinde, bize her seferinde yeni bir belirteç vermek için sosyal hesabınızla giriş yapmanızı rica ediyoruz.
500px hesabımı silmek istiyorum.
Unutmayın, 500px hesabınızı silmek, bilgilerinizin bu ihlal sonucu tehlikeye girip girmediğini etkilemez. Hesabınızı silme adımlarını burada bulabilirsiniz:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Gizlilik politikamıza göre, belirli yasal yükümlülüklere uymak için gerektiğinde verilerinizi saklayabiliriz.
500 px'den tüm verilerimin bir kopyasını nasıl alabilirim?
500px size e-posta yoluyla verilerinizin bir arşivini gönderebilir. Lütfen help@500px.com adresine bir istek gönderin ve ekibimizin e-postanın alındığını onaylamasıyla sonraki 72 saat içinde veri talebini yerine getirebiliriz.
Şifre sıfırlama e-postasını almadım.
Şifrenizi geçersiz kıldıysak, 500px'e şifreyle bir sonraki giriş yapma denemenizde şifrenizi sıfırlamanız istenir. Önümüzdeki birkaç gün içinde en kısa sürede etkilenen kullanıcılarla iletişim kuracağız.
E-postadaki bağlantı çalışmıyor.
Şifrenizi geçersiz kıldıysak, 500px'e şifreyle bir sonraki giriş yapma denemenizde şifrenizi sıfırlamanız istenir. Bunu, müsait olduğunuz en yakın zamanda yapmanızı öneriyoruz.
Şifremi neden sıfırlamak zorundayım/neden giriş yapamıyorum?
Şifre güvenliği önlemleri almakla birlikte, kişisel verilerinizi koruma adına ek adımlar atıyoruz. Bir önlem olarak, tüm kullanıcıların 500px hesap şifrelerini sıfırlamasını bir gereklilik haline getiriyoruz.
Neden birden fazla e-posta adresim ve bağlantım var?
500px'den birden fazla mesaj veya şifre sıfırlama istemleri almış olabilirsiniz. Bunun nedeni, tüm kullanıcılarımızı bu olaydan haberdar ettiğimizden emin olmak için her türlü önlemi alıyoruz.