Problema de segurança em fevereiro de 2019: perguntas frequentes
ATUALIZADO: 13 de fevereiro de 2010, 11h00 no Horário Padrão Oriental (EST).
(traduzido a partir da versão original disponível aqui)
O que aconteceu?
Em 8 de fevereiro de 2019, nossa equipe de engenheiros ficou ciente de um problema potencial de segurança afetando certos dados dos perfis de usuário. Imediatamente, fizemos uma avaliação abrangente dos nossos sistemas para entender a natureza e a extensão do problema. Contratamos prestadores de serviços especializados para nos ajudarem na nossa investigação e estamos colaborando com as autoridades nesse caso.
Com base na nossa investigação até o momento, acreditamos que um terceiro não autorizado ganhou acesso aos nossos sistemas e coletou dados parciais de usuários, aproximadamente no dia 5 de junho de 2018. Concluímos que esse problema afetou certas informações fornecidas pelos usuários ao preencherem seus perfis, conforme listadas abaixo. Nossos engenheiros estão monitorando nossa plataforma atentamente, e não encontramos evidência de qualquer repetição desse problema até o momento.
Como medida de precaução, estamos redefinindo as senhas das contas de todos os usuários do 500px. Uma notificação por e-mail fornecerá aos usuários afetados instruções sobre como redefinir suas senhas.
Uma redefinição de senha em nível de sistema está em andamento para todos os usuários, priorizados em ordem de risco potencial, e já forçamos uma redefinição de todas as senhas criptografadas no formato MD5.
Quais tipos de dados de usuários foram afetados?
- Seu nome e sobrenome conforme inseridos no 500px;
- Seu nome de usuário do 500px;
- O endereço de e-mail associado ao seu login do 500px;
- Um “hash” da sua senha, que foi obscurecida através de um algoritmo criptográfico de mão única;
- Sua data de nascimento, caso fornecida;
- Sua cidade, estado/província e país, caso fornecidos; e
- Seu gênero, caso fornecido.
Como posso saber se fui afetado?
Se você já usava o 500px antes de ou em 5 de julho de 2018, você foi afetado.
Estamos no processo de notificar todos os usuários por e-mail, assim como no site e através de notificações por celular, contudo, dado o volume de usuários afetados, poderá haver atraso nas notificações que você receber.
Independentemente de você ter sido afetado ou não, dada a natureza dos dados pessoais envolvidos, estamos alertando-o sobre essa questão, para que você possa tomar as medidas necessárias para ajudá-lo a se proteger contra o risco de “phishing”, spam e outros usos impróprios das suas informações como resultado desse problema. Recomendamos que você mude sua senha em qualquer outro site ou aplicativo no qual você use uma senha igual ou parecida com a senha da sua conta do 500px.
Ainda não recebi um e-mail para redefinir minha senha
No momento, estamos trabalhando para notificar nossa base inteira de usuários, priorizados por risco potencial. Contudo, dada a quantidade de usuários afetados, essa tarefa levará no mínimo um dia. Usuários poderão receber a notificação por e-mail que inclui um aviso de redefinição de senha em momentos diferentes. Recomendamos que redefina sua senha caso ainda não tenha recebido o e-mail e ainda não o tenha feito.
Se você marcou e-mails do 500px como spam no passado, talvez você não receba o e-mail de notificação. Infelizmente, esse não é um problema que possamos corrigir de nossa parte (para garantir que nossos usuários não recebam e-mails que considerem como spam). Nesse caso, você precisará autorizar o recebimento de e-mails do 500px.com junto a seu provedor de serviço de e-mail para voltar a recebê-los. O processo poderá ser diferente dependendo de qual provedor de e-mail você usa.
Já redefini minha senha. Preciso fazer isso de novo?
Se você redefiniu sua senha depois das 3h00 no Horário Padrão Oriental (EST) do dia 12 de fevereiro, não é necessário redefini-la novamente. Contudo, caso queira, você pode redefinir sua senha aqui.
Quando vocês ficaram sabendo do problema de segurança?
Em 8 de fevereiro, nossa equipe de engenheiros soube de um problema potencial de segurança e começou a investigá-lo imediatamente.
O que vocês fizeram para corrigi-lo?
- Dada a natureza dos dados pessoais envolvidos, já forçamos uma redefinição de todas as senhas criptografadas em formato MD5, e uma redefinição de senha em nível de sistema está em andamento;
- Vetamos acesso aos nossos servidores, bancos de dados e outros serviços de armazenamento de dados confidenciais;
- Monitoramos e continuamos a monitorar nosso código-fonte, tanto aquele aberto ao público como o interno, para protegê-lo contra problemas de segurança;
- Firmamos parceria com os maiores especialistas em segurança virtual para proteger ainda mais nosso site, aplicativos para celular, sistemas internos e processos de segurança;
- Estamos modificando nosso processo interno de desenvolvimento de software; e
- Estamos continuando a aprimorar nossa infraestrutura de rede.
Se vocês ficaram sabendo sobre a violação em 8 de fevereiro, por que estou sabendo disso só agora?
Foi importante podermos garantir que forneceríamos informações precisas aos nossos usuários antes de confirmar os detalhes da violação. Dada a natureza dos dados pessoais envolvidos, nossas primeiras preocupações, e, consequentemente, atividades em ordem de prioridade, foram garantir:
1) que o nosso sistema estivesse protegido;
2) que os dados dos nossos usuários estivessem protegidos de mais violações e acessos não autorizados às contas; e
3) que informações precisas fossem transmitidas aos nossos usuários, seguidas por um comunicado público.
No momento, estamos trabalhando para notificar nossa base inteira de usuários, priorizados por risco potencial. Contudo, dada a quantidade de usuários afetados, essa tarefa levará no mínimo um dia. Apesar dessa violação não afetar os usuários que se cadastraram após o dia 5 de julho de 2018, queremos tomar todas as medidas de precaução possíveis para garantir a segurança dos nossos usuários.
Que dados não foram pegos?
Neste momento, não há indicação de acesso não autorizado à sua conta e não há evidência de que outros dados associados com o seu perfil de usuário tenham sido afetados, tais como dados de cartão de crédito (que não são armazenados nos nossos servidores), caso tenha sido usado para fazer quaisquer compras, ou qualquer outro dado pessoal confidencial.
Vocês já avisaram as autoridades?
Já alertamos as autoridades, além de termos contratado uma firma de segurança para nos ajudar na investigação e nos próximos passos.
Como teremos confiança de que isso não acontecerá de novo?
Futuramente, continuaremos a melhorar nossas medidas de segurança, a fim de ajudar a manter seus dados seguros, e estamos implementando medidas adicionais para ajudar a evitar que esse tipo de incidente ocorra novamente.
Estamos continuando a aprimorar a nossa infraestrutura de rede. No decorrer dos últimos 12 meses, temos realizado um upgrade importante na nossa infraestrutura de rede — este projeto está perto de ser concluído e também oferecerá um aumento significativo na segurança.
Se eu tiver feito login com uma conta em rede social (Google+, Facebook), vocês ainda têm a minha senha?
Como usuário fazendo login através de uma plataforma social externa, você ainda poderá cadastrar uma senha conosco, mas não armazenamos suas senhas do Google+, Facebook ou de login por redes sociais. Quando você faz login através de uma conta em rede social, recebemos um “token” de sessão que é armazenado em nossos servidores. A cada vez que o “token” de sessão expira, pedimos que você faça login através de sua conta em rede social para obtermos um novo “token”.
Quero excluir minha conta do 500px.
Tenha em mente que excluir sua conta do 500px não afeta o fato de seus dados terem ou não terem sido comprometidos por esta violação. Os passos para excluir sua conta podem ser encontrados aqui:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Segundo nossa política de privacidade, poderemos preservar seus dados caso necessário para cumprir obrigações legais específicas.
Como posso obter uma cópia de todos os meus dados do 500px?
O 500px poderá lhe enviar um arquivo dos seus dados por e-mail. Por favor, envie uma solicitação para help@500px.com e atenderemos à solicitação dos dados em até 72 horas após nossa equipe confirmar o recebimento do e-mail.
Eu não recebi o e-mail de redefinição de senha.
Caso tenhamos invalidado sua senha, você será alertado para redefinir sua senha na próxima vez em que tentar fazer login no 500px com uma senha. Contataremos os usuários afetados o mais rapidamente possível durante os próximos dias.
O link no e-mail não funciona.
Caso tenhamos invalidado sua senha, você receberá um alerta para redefini-la na próxima vez em que tentar fazer login no 500px com uma senha. Recomendamos que você o faça o mais rapidamente possível.
Por que tenho que redefinir minha senha/por que não consigo fazer login?
Apesar de termos implementado medidas de segurança quanto às senhas, estamos tomando medidas adicionais para proteger seus dados pessoais. Como medida de precaução, estamos exigindo que todos os usuários redefinam as senhas das suas contas do 500px.
Por que recebi vários e-mails e links?
Você pode ter recebido várias mensagens ou avisos de redefinição de senha do 500px. Isso ocorreu porque estamos tomando todas as medidas de precaução para garantir que todos os nossos usuários estejam cientes desse incidente.