Problema di Sicurezza Febbraio 2019: FAQ
AGGIORNATO: 13 Feb. 2019, 11:00 EST (17:00 ora italiana)
(Tradotto dalla versione originale disponibile qui)
Cosa è successo?
Il giorno 8 febbraio 2019, il nostro team di ingegneri ha riscontrato un potenziale problema di sicurezza riguardante alcuni dati del profilo degli utenti. Abbiamo immediatamente avviato una revisione estensiva dei nostri sistemi per capire la natura e la portata dell’accaduto. Abbiamo reclutato degli esperti esterni per aiutarci nell’indagine e a coordinarci con le forze dell’ordine competenti in materia.
In base ai risultati dell’indagine ora in nostro possesso, riteniamo che circa in data 5 luglio 2018 un soggetto non autorizzato sia riuscito ad accedere ai nostri sistemi per acquisire parte dei dati degli utenti. Abbiamo raggiunto la conclusione che il problema riguarda alcune informazioni fornite durante la compilazione del profilo utente, come riportato qui di seguito. I nostri ingegneri stanno monitorando strettamente la nostra piattaforma, e ad oggi non ci sono indizi che portino a ritenere che un tale episodio abbia potuto ripetersi.
A titolo precauzionale, stiamo resettando le password degli account di tutti gli utenti 500px. Un’email di notifica fornirà ai soggetti interessati le istruzioni necessarie alla reimpostazione della password.
Il reset della password è attualmente in corso in modo sistematico per tutti gli utenti, in ordine di priorità a seconda del potenziale di rischio, ed è già stato eseguito il reset forzato di tutte le password criptate in MD5.
Quali sono i dati interessati?
- Nome e cognome come inseriti su 500px
- Nome utente di 500px
- Indirizzo email associato al login a 500px
- L’hash della password, mediante un algoritmo crittografico ‘one-way’
- Data di nascita, se fornita
- Città, provincia, nazione, se fornite
- Genere sessuale
Come faccio a sapere se la cosa mi riguarda o no?
Tutti gli utenti registratisi su 500px fino al 5 luglio 2018 compreso sono coinvolti.
È in corso il processo di comunicazione dell’accaduto a tutti gli utenti via email, oltre che sul sito e tramite notifiche sui dispositivi mobili; dato l’alto numero di utenti interessati, la ricezione della notifica potrebbe richiedere qualche tempo.
Indipendentemente dal fatto che l’utente sia stato direttamente interessato dal problema oppure no, data la natura personale dei dati in questione, desideriamo informare dell’accaduto tutti i nostri utenti per consentire loro di proteggersi da eventuali rischi di phishing, spam, o altri usi illeciti dei loro dati che potrebbero verificarsi come conseguenza di questo episodio. Raccomandiamo di cambiare le password di qualsiasi altro sito/app che siano uguali o simili a quella usata per l’account 500px.
Non ho ancora ricevuto alcuna email per il reset della mia password
Stiamo attualmente provvedendo a informare l’intero bacino dei nostri utenti, in ordine di priorità secondo il potenziale di rischio. Dato il numero di utenti interessati, la procedura richiederà almeno un giorno di tempo. Gli utenti riceveranno, in momenti diversi, un’email di notifica contenente l’invito a reimpostare la password. Anche prima di ricevere l’email, invitiamo l’utente a reimpostare la password, se non l’ha già fatto.
Se in passato ha contrassegnato le email provenienti da 500px come spam, l’utente potrebbe non ricevere la comunicazione in questione. Purtroppo questo non è un problema che possiamo risolvere noi (garantire che i nostri utenti non ricevano le email che vedono come spam). Per tornare a riceverle, dovrà essere eseguita la procedura di whitelist per le email di 500px.com, che potrebbe differire a seconda del provider email utilizzato.
Ho già reimpostato la mia password. Devo farlo ancora?
Se la password è stata resettata dopo le 03:00 EST (09:00 ora italiana) del 12 Feb. 2018, non è necessario reimpostarla. Tuttavia, chi lo desidera può procedere al reset della password qui.
Quando siete venuti a conoscenza del problema di sicurezza?
L’8 febbraio, il nostro team di ingegneri ha scoperto un potenziale problema di sicurezza e ha iniziato immediatamente un’indagine approfondita.
Cosa avete fatto per rimediare?
- Data la natura personale dei dati interessati, abbiamo già forzato il reset di tutte le password criptate in MD5, ed è in corso la reimpostazione sistematica di tutte le password.
- Abbiamo controllato minuziosamente l’accesso ai nostri server, database e altri servizi di archiviazione dei dati sensibili.
- Abbiamo monitorato e continuiamo a monitorare il nostro codice sorgente, sia dell’interfaccia pubblica sia interno, per evitare problemi di sicurezza.
- Stiamo collaborando con i principali esperti di cyber-sicurezza per mettere ulteriormente al sicuro il sito web, le app mobile, i sistemi interni e le procedure di sicurezza di 500px.
- Stiamo modificando il sistema di sviluppo del nostro software interno.
- Continuiamo ad aggiornare le nostre infrastrutture di rete.
Se avete scoperto la violazione l’8 di febbraio, perché io vengo a saperlo solo ora?
Era importantissimo per noi poter fornire ai nostri utenti informazioni accurate e certe prima di confermare i dettagli della violazione. Data la natura personale dei dati coinvolti, la nostra preoccupazione principale, che ha determinato l’ordine di priorità delle azioni intraprese, è stata di garantire:
1) che il nostro sistema fosse sicuro;
2) che i dati dei nostri utenti fossero al sicuro da ulteriori violazioni o da accessi non autorizzati agli account;
3) che informazioni accurate venissero fornite ai nostri utenti prima dell’emissione di un comunicato pubblico.
Stiamo attualmente provvedendo a informare l’intero bacino dei nostri utenti, in ordine di priorità secondo il potenziale di rischio. Dato il numero di utenti interessati, la procedura richiederà almeno un giorno di tempo. Nonostante la violazione non riguardi gli utenti registratisi dopo il 5 luglio 2018, vogliamo prendere ogni possibile precauzione per garantire la sicurezza dei nostri utenti.
Quali dati non sono stati sottratti?
Al momento, non ci sono indizi di accessi non autorizzati agli account, né di violazione di altri dati associati al profilo utente, come carte di credito (che non sono memorizzate sui nostri server) eventualmente usate per fare acquisti, o altri dati personali sensibili.
Avete avvertito le forze dell’ordine?
Abbiamo allertato le forze dell’ordine, oltre ad aver assunto una società esperta in sicurezza per assisterci nell’indagine e nei passi successivi.
Come possiamo essere certi che non succeda di nuovo?
Andando avanti, continueremo a intensificare le nostre misure di sicurezza per mantenere i dati dei nostri utenti al sicuro, e stiamo implementando soluzioni aggiuntive per prevenire il ripetersi di un simile episodio.
Stiamo continuando ad aggiornare le nostre infrastrutture di rete che, nel corso degli ultimi 12 mesi, sono state oggetto di un rinnovamento su larga scala — il progetto sta per essere completato e offrirà un significativo aumento nella sicurezza.
Se eseguivo l’accesso con un account social (Google+, Facebook), avete comunque la mia password?
Accedendo da una piattaforma social esterna, è comunque possibile inserire una password in 500px, ma noi non memorizziamo le password di accesso a Google+, Facebook o altri social. Quando un utente accede tramite un suo account social, riceviamo un ID di sessione che conserviamo nei nostri server. Quando l’identificativo di sessione scade, chiediamo di eseguire di nuovo l’accesso tramite l’account social per ricevere ogni volta un nuovo ID sessione.
Voglio cancellare il mio account 500px.
Ricordiamo che la cancellazione dell’account 500px non influisce sul problema della violazione dei dati personali. I passaggi per cancellare l’account si possono trovare qui:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Per quanto riguarda la politica sulla privacy, potremmo conservare i dati necessari ad ottemperare a specifici obblighi legali.
Come posso fare per ottenere da 500px una copia di tutti i miei dati?
500px invierà l’archivio di tutti i dati dell’utente via email. Basterà farne richiesta all’indirizzo help@500px.com per riceverlo entro 72 ore dalla conferma di ricevimento dell’email da parte del nostro team.
Non ho ricevuto l’email per il reset della password.
Se la sua password è stata invalidata, l’utente riceverà l’invito a impostarne una nuova la prima volta che eseguirà l’accesso a 500px. Contatteremo gli utenti interessati il più presto possibile nel corso dei prossimi giorni.
Il link contenuto nell’email non funziona.
Se la sua password è stata invalidata, l’utente riceverà l’invito a impostarne una nuova la prima volta che eseguirà l’accesso a 500px. Raccomandiamo di provvedere in tal senso appena possibile.
Perché devo reimpostare la password/perché non riesco ad accedere?
Oltre alle misure di sicurezza della password già attive, stiamo prendendo ulteriori provvedimenti per proteggere i dati personali dei nostri utenti. In via precauzionale, stiamo chiedendo a tutti gli utenti di resettare la password del loro account 500px.
Perché ho ricevuto più di un’email contenente il link?
Vogliamo essere certi di aver preso ogni possibile provvedimento per far sì che tutti i nostri utenti siano informati di questo episodio, per questo potrebbero ricevere diversi messaggi e inviti a reimpostare la password da parte di 500px.