Beveiligingsprobleem februari 2019: FAQ
BIJGEWERKT: 13 februari, 2019, 11 uur ‘s ochtends Est
(Vertaald uit de originele versie die hier beschikbaar is)
Wat is er gebeurd?
Op 8 februari 2019 werd ons technische team zich bewust van een mogelijk beveiligingsprobleem dat van invloed was op bepaalde gebruikersprofielgegevens. We hebben onmiddellijk een uitgebreid overzicht van onze systemen geïntroduceerd om de aard en omvang van het probleem te begrijpen. We hebben een externe deskundige ingeschakeld om ons bij te staan in ons onderzoek en coördineren de wetshandhavingsautoriteiten in deze kwestie.
Op basis van ons onderzoek tot nu toe denken we dat een ongeautoriseerde partij toegang heeft gekregen tot onze systemen en gedeeltelijke gebruikersgegevens heeft verkregen op ongeveer 5 juli 2018. We hebben geconcludeerd dat dit probleem gevolgen heeft voor bepaalde informatie die gebruikers hebben verstrekt bij het invullen van hun gebruikersprofielen, zoals hieronder opgesomd. Onze technici houden ons platform nauwlettend in de gaten en we hebben tot nu toe geen enkel bewijs gevonden dat dit probleem zich opnieuw voordoet.
Uit voorzorg herstellen wij alle 500px accountwachtwoorden van alle gebruikers. Een e-mail met kennisgeving geeft instructies aan getroffen betrokkenen over het opnieuw instellen van hun wachtwoorden.
Een systeembrede reset van de wachtwoorden is momenteel onderweg voor alle gebruikers, geprioriteerd in volgorde van potentieel risico, en we hebben al een reset van alle MD5-gecodeerde wachtwoorden geforceerd.
Welk type gebruikersgegevens zijn getroffen?
- Uw voor- en achternaam zoals ingevoerd op 500px
- Uw 500px gebruikersnaam
- Het e-mailadres dat is gekoppeld aan uw 500px-aanmelding
- Een hash van uw wachtwoord, dat gehashed was met behulp van een eenrichtings cryptografisch algoritme
- Uw geboortedatum, indien verstrekt
- Uw stad, staat / provincie, land, indien verstrekt
- Uw geslacht, indien verstrekt
Hoe weet ik of ik getroffen werd?
Als u een gebruiker van 500px was op of vóór 5 juli 2018, dan bent u getroffen.
We zijn bezig met het melden van alle gebruikers via e-mail evenals op de site en met mobiele meldingen, maar gezien het grote aantal gebruikers dat is getroffen kunnen er vertragingen optreden in de meldingen die u ontvangt.
Ongeacht of u al dan niet rechtstreeks werd getroffen, vanwege de aard van de betrokken persoonsgegevens, waarschuwen wij u voor deze kwestie, zodat u stappen kunt nemen om uzelf te beschermen tegen het risico van phishing, spam en ander misbruik van uw informatie als een gevolg van dit probleem. We raden u aan uw wachtwoord te wijzigen op elke andere website of app waarop u een wachtwoord gebruikt dat hetzelfde is als of vergelijkbaar is met uw wachtwoord voor uw 500px-account.
Ik heb nog geen e-mail ontvangen om mijn wachtwoord opnieuw in te stellen
We werken momenteel aan het op de hoogte brengen van ons hele gebruikersbestand, met een prioriteit op basis van potentieel risico. Gezien het aantal getroffen gebruikers, zal deze taak echter minimaal één dag beslaan. Gebruikers ontvangen mogelijk een e-mailmelding met een prompt om hun wachtwoord op verschillende tijdstippen opnieuw in te stellen. Als je de e-mail nog niet hebt ontvangen, raden we je aan je wachtwoord opnieuw in te stellen als je dat nog niet hebt gedaan.
Als u in het verleden e-mails van 500px als spam hebt gemarkeerd, ontvangt u mogelijk geen e-mail met de melding. Helaas is dit geen probleem dat we aan onze kant kunnen corrigeren (om ervoor te zorgen dat onze gebruikers geen e-mails ontvangen die ze als spam beschouwen). In plaats daarvan moet u e-mails van 500px.com op de witte lijst zetten om ze weer te ontvangen bij uw e-mailserviceprovider. Het proces kan verschillen afhankelijk van welke e-mailprovider u gebruikt.
Ik heb mijn wachtwoord al gereset. Moet ik het nog een keer doen?
Als u uw wachtwoord na 3 uur ‘s middags Est op 12 februari opnieuw heeft ingesteld, hoeft u dit niet opnieuw in te stellen. Als u dit echter wilt, kunt u uw wachtwoord hier opnieuw instellen.
Wanneer hoorde u voor het eerst van het beveiligingsprobleem?
Op 8 februari leerde ons technische team een potentieel beveiligingsprobleem kennen en begon het meteen te onderzoeken.
Wat hebben jullie gedaan om dit op te lossen?
- Gezien de aard van de betrokken persoonsgegevens, hebben we al een reset van alle MD5-gecodeerde wachtwoorden geforceerd en is er een systeembrede wachtwoordreset onderweg.
- We hebben de toegang tot onze servers, databases en andere gevoelige gegevensopslagservices gecontroleerd.
- We hebben onze broncode gecontroleerd en blijven dat doen, zowel openbaar als intern, om te beschermen tegen beveiligingsproblemen.
- We werken samen met toonaangevende experts op het gebied van cyberbeveiliging om onze website, mobiele apps, interne systemen en beveiligingsprocessen verder te beveiligen.
- We passen ons interne softwareontwikkelingsproces aan.
- We blijven onze netwerkinfrastructuur upgraden.
Als jullie op 8 februari hebben gehoord van de inbreuk, waarom hoor ik het dan nu?
Het was belangrijk dat we ervoor konden zorgen dat we onze gebruikers accurate informatie verstrekten voordat we de details van de inbreuk bevestigden. Gezien de aard van de betrokken persoonsgegevens, waren onze belangrijkste zorgen, en dus onze activiteiten in volgorde van prioriteit, om te zorgen voor:
1) dat ons systeem beveiligd was;
2) de gegevens van onze gebruikers zijn beveiligd tegen verdere inbreuken en ongeoorloofde toegang tot de accounts;
3) dat nauwkeurige informatie werd doorgegeven aan onze gebruikers, gevolgd door openbare communicatie.
We werken momenteel aan het op de hoogte stellen van ons hele gebruikersbestand, met een prioriteit op basis van potentieel risico. Gezien het aantal getroffen gebruikers, zal deze taak echter minimaal één dag beslaan. Hoewel deze inbreuk geen gevolgen heeft voor gebruikers die zich na 5 juli 2018 hebben geregistreerd, willen we alle mogelijke voorzorgsmaatregelen nemen om de veiligheid van onze gebruikers te waarborgen.
Welke gegevens zijn niet gebruikt?
Op dit moment is er geen indicatie van ongeoorloofde toegang tot uw account en geen bewijs dat andere gegevens in verband met uw gebruikersprofiel zijn aangetast, zoals creditcardinformatie (die niet op onze servers is opgeslagen), indien gebruikt om aankopen te doen, of andere gevoelige persoonlijke informatie.
Hebben jullie de wetshandhaving gealarmeerd?
We hebben wetshandhaving geattendeerd, daarnaast hebben wij ook een beveiligingsfirma die ons helpt bij het onderzoek en de volgende stappen.
Hoe kunnen we erop vertrouwen dat dit niet nog een keer zal gebeuren?
In de toekomst zullen we doorgaan met het verbeteren van onze beveiligingsmaatregelen om uw gegevens veilig te houden en we implementeren aanvullende maatregelen om te voorkomen dat dit soort incident zich opnieuw voordoet.
We blijven onze netwerkinfrastructuur upgraden. In de afgelopen 12 maanden hebben we een belangrijke upgrade van onze netwerkinfrastructuur doorgevoerd - dit project nadert zijn voltooiing en zal ook een aanzienlijke toename van de beveiliging bieden.
Als ik me heb aangemeld met een sociaal account (Google+, Facebook), hebben jullie dan nog steeds mijn wachtwoord?
Als gebruiker die inlogt vanaf een extern sociaal platform, kunt u nog steeds een wachtwoord bij ons invoeren, maar we slaan uw wachtwoorden voor Google+, Facebook of sociale aanmeldingen niet op. Wanneer u zich aanmeldt via een sociaal account, ontvangen we een sessietoken dat is opgeslagen op onze servers. Wanneer het sessietoken vervalt, vragen we u om u via uw sociale account aan te melden om ons telkens een nieuw token te geven.
Ik wil mijn 500px-account verwijderen.
Houd er rekening mee dat het verwijderen van uw 500px-account niet van invloed is op de vraag of uw informatie is aangetast door deze inbreuk. De stappen voor het verwijderen van uw account vindt u hier:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Conform ons privacybeleid kunnen we uw gegevens bewaren indien nodig om te voldoen aan specifieke wettelijke verplichtingen.
Hoe krijg ik een kopie van al mijn gegevens van 500px?
500px kan u via e-mail een archief met uw gegevens sturen. Stuur een verzoek naar help@500px.com en we kunnen het gegevensverzoek binnen 72 uur nadat ons team de ontvangst van de e-mail heeft bevestigd, beantwoorden.
Ik heb de e-mail voor het opnieuw instellen van het wachtwoord niet ontvangen.
Als we uw wachtwoord ongeldig hebben gemaakt, wordt u gevraagd uw wachtwoord opnieuw in te stellen wanneer u de volgende keer probeert in te loggen op 500px met een wachtwoord. We nemen zo snel mogelijk contact op met getroffen gebruikers in de komende dagen.
De link in de e-mail werkt niet.
Als we uw wachtwoord ongeldig hebben gemaakt, wordt u gevraagd uw wachtwoord opnieuw in te stellen wanneer u de volgende keer probeert in te loggen op 500px met een wachtwoord. We raden u aan dit zo snel mogelijk te doen.
Waarom moet ik mijn wachtwoord opnieuw instellen / Waarom kan ik niet inloggen?
Hoewel we wachtwoordbeveiligingsmaatregelen hebben getroffen, nemen we aanvullende maatregelen om uw persoonlijke gegevens te beschermen. Uit voorzorg eisen we van alle gebruikers dat ze hun 500px-accountwachtwoorden opnieuw instellen.
Waarom heb ik meerdere e-mails en links?
Mogelijk hebt u meerdere berichten of prompts voor het opnieuw instellen van een wachtwoord ontvangen van 500px. Dit komt omdat we alle voorzorgsmaatregelen treffen om ervoor te zorgen dat we al onze gebruikers op de hoogte hebben gesteld van dit incident.