Zagrożenie dla bezpieczeństwa – luty 2019 r.: FAQ
AKTUALIZACJA: 13 lutego 2019, godz. 11.00 a.m. czasu EST
(tłumaczenie z wersji oryginalnej dostępnej tutaj).
Co się wydarzyło?
Dnia 8 lutego 2019 r. nasz zespół techniczny dowiedział się o potencjalnym zagrożeniu dla bezpieczeństwa części danych profilu użytkownika. Niezwłocznie rozpoczęliśmy kompleksową kontrolę naszych systemów w celu pozyskania informacji o charakterze i zakresie zagrożenia. Do pomocy w przeprowadzeniu działań kontrolnych zatrudniliśmy zewnętrznego specjalistę i aktualnie współpracujemy w tej sprawie z organami ścigania.
Na podstawie dotychczas zgromadzonych informacji możemy stwierdzić, że dostęp do naszych systemów uzyskały nieupoważnione osoby, które około 5 lipca 2018 r. pozyskały niektóre dane użytkowników. Ustaliliśmy, że zagrożenie dotyczy niektórych informacji podawanych przez użytkowników podczas wypełniania profilu, jak wymieniono poniżej. Nasi technicy na bieżąco monitorują platformę i dotychczas nie znaleźliśmy ponownych śladów tego zagrożenia.
W ramach środków ostrożności resetujemy hasła do kont wszystkich użytkowników 500px. Osoby, których dane są zagrożone, otrzymają wiadomość e-mail z powiadomieniem i instrukcjami dotyczącymi resetowania hasła.
Aktualnie przeprowadzany jest systemowy reset haseł wszystkich użytkowników – w kolejności według stopnia potencjalnego ryzyka – a wszystkie hasła szyfrowane metodą MD5 zostały już zresetowane.
Jakiego rodzaju danych dotyczy zagrożenie?
- Imienia i nazwiska podanych na platformie 500px.
- Nazwy użytkownika 500px.
- Adresu e-mail powiązanego z loginem 500px.
- Hasła zaszyfrowanego jednostronnym algorytmem kryptograficznym.
- Daty urodzenia, jeśli podano.
- Miasta, stanu/regionu, kraju, jeśli podano.
- Płci, jeśli podano.
Skąd mam wiedzieć, czy dotyczy mnie zagrożenie?
Zagrożenie dotyczy wszystkich osób, które były użytkownikami 500px dnia 5 lipca 2018 r. lub wcześniej.
Aktualnie przekazujemy informacje wszystkim użytkownikom za pośrednictwem poczty e-mail, naszej witryny internetowej i powiadomień mobilnych, jednakże, biorąc pod uwagę liczbę dotkniętych użytkowników, informacje mogą docierać z opóźnieniem.
Bez względu na to czy dany użytkownik został dotknięty zagrożeniem, ostrzegamy wszystkich użytkowników aby mogli podjąć odpowiednie kroki w celu zabezpieczenia się przed ryzykiem phishingu, spamu i innego typu nadużyć swoich danych w wyniku tego zdarzenia. Zalecamy zmianę hasła we wszystkich innych witrynach internetowych lub aplikacjach, w których było używane to samo lub podobne hasło jak do konta 500px.
Wiadomość e-mail dotycząca resetowania hasła jeszcze do mnie nie dotarła.
Aktualnie przekazujemy informacje wszystkim użytkownikom, którzy znajdują się w naszej bazie danych, w kolejności według stopnia potencjalnego ryzyka. Biorąc pod uwagę liczbę dotkniętych użytkowników, potrwa to co najmniej jeden dzień. Użytkownicy mogą otrzymywać powiadomienia e-mail z zaleceniem zresetowania hasła w różnym czasie. W przypadku nieotrzymania jeszcze takiej wiadomości e-mail zachęcamy do zresetowania swojego hasła, jeśli do tej pory nie zostało to zrobione.
Jeśli wiadomości od 500px zostały w przeszłości oznaczone jako spam, e-mail z powiadomieniem może nie dotrzeć. Niestety z naszej strony nie możemy nic zrobić w tej sprawie (aby zagwarantować, że nasi użytkownicy nie będą otrzymywać wiadomości, które uważają za spam). Można jednak dodać wiadomości e-mail od 500px.com do białej listy w swoim serwisie poczty e-mail, aby otrzymywać je ponownie. Procedura ta może różnić się w zależności od serwisu poczty e-mail.
Hasło zostało już zresetowane. Czy muszę to zrobić ponownie?
Jeśli hasło zostało zresetowane po godz. 3.00 a.m. czasu EST dnia 12 lutego, nie trzeba tego robić ponownie. Użytkownik może jednak – jeśli chce – zresetować swoje hasło tutaj.
Kiedy dowiedzieliście się o zagrożeniu dla bezpieczeństwa?
Dnia 8 lutego nasz zespół techniczny dowiedział się o potencjalnym zagrożeniu dla bezpieczeństwa i natychmiast rozpoczął działania kontrolne.
Co zrobiliście, aby temu zaradzić?
- Biorąc pod uwagę charakter danych osobowych, których dotyczy zagrożenie, zresetowaliśmy już wszystkie hasła zaszyfrowane metodą MD5, a reset systemowy jest aktualnie przeprowadzany.
- Przeprowadziliśmy weryfikację dostępu do naszych serwerów, baz danych i innych serwisów, w których przechowywane są wrażliwe dane.
- Sprawdziliśmy i na bieżąco monitorujemy nasz kod źródłowy, zarówno dostępny publicznie, jak i wewnętrzny, aby zabezpieczyć go przed zagrożeniami.
- Współpracujemy z wiodącymi specjalistami z zakresu bezpieczeństwa cyfrowego, aby jeszcze ściślej chronić naszą stronę internetową, aplikacje mobilne, systemy wewnętrzne i procedury bezpieczeństwa.
- Modyfikujemy nasze wewnętrzne procedury tworzenia oprogramowania.
- Nadal modernizujemy naszą infrastrukturę sieciową.
Jeśli dowiedzieliście się o zagrożeniu 8 lutego, dlaczego słyszę o tym dopiero teraz?
Ważną kwestią było to, żeby przed potwierdzeniem szczegółów dotyczących naruszenia bezpieczeństwa przekazać naszym użytkownikom pewne i dokładne informacje. Biorąc pod uwagę charakter danych osobowych, których dotyczy zagrożenie, nasze priorytety i działania podjęte w pierwszej kolejności miały na celu:
1) upewnienie się że nasz system jest bezpieczny;
2) upewnienie się że dane użytkowników są zabezpieczone przed kolejnymi naruszeniami i nieautoryzowanym dostępem do kont;
3) zagwarantowanie że użytkownicy otrzymują dokładne informacje, podawane następnie do wiadomości publicznej.
Aktualnie przekazujemy informacje wszystkim użytkownikom, którzy znajdują się w naszej bazie danych, w kolejności według stopnia potencjalnego ryzyka. Biorąc pod uwagę liczbę dotkniętych użytkowników, potrwa to co najmniej jeden dzień. Chociaż zagrożenie nie dotyczy użytkowników, którzy zarejestrowali się po 5 lipca 2018 r., chcemy podjąć wszelkie możliwe środki ostrożności w celu zapewnienia bezpieczeństwa naszym użytkownikom.
Jakie dane zostały wykradzione?
Na tym etapie nic nie wskazuje na uzyskanie przez nieupoważnione osoby dostępu do konta, nie ma także śladów, które wskazywałyby, że zagrożone są inne dane powiązane z profilem użytkownika, takie jak dane karty kredytowej (które nie są przechowywane na naszych serwerach), jeśli były wykorzystywane do zakupów, czy też jakiekolwiek inne wrażliwe dane osobowe.
Czy zawiadomiliście organy ścigania?
Zawiadomiliśmy organy ścigania, ponadto zatrudniliśmy firmę zajmującą się bezpieczeństwem, która pomoże nam w przeprowadzeniu dalszych kontroli i podjęciu kolejnych kroków.
Skąd możemy mieć pewność, że taka sytuacja się nie powtórzy?
W przyszłości będziemy nadal zwiększać środki bezpieczeństwa, aby chronić dane użytkowników; wdrażamy również dodatkowe środki w celu zapobieżenia ponownemu wystąpieniu tego typu zdarzenia.
Nadal modernizujemy naszą infrastrukturę sieciową. W ciągu ostatnich 12 miesięcy przeprowadziliśmy znaczącą modernizację naszej infrastruktury sieciowej – projekt ten jest już prawie ukończony i również będzie stanowić istotne podniesienie poziomu ochrony.
Jeśli loguję się przez konto w serwisie społecznościowym (Google+, Facebook), czy macie moje hasło?
Użytkownik logujący się z zewnętrznej platformy społecznościowej nadal może podać to hasło w naszym serwisie, ale nie przechowujemy haseł logowania do Google+, Facebooka czy innych serwisów społecznościowych. Gdy użytkownik loguje się za pomocą konta serwisu społecznościowego, otrzymujemy token sesji, który przechowywany jest na naszych serwerach. Kiedy token sesji wygaśnie, prosimy użytkownika o zalogowanie się za pomocą konta sieci społecznościowej, aby za każdym razem otrzymać nowy token.
Chcę usunąć swoje konto 500px.
Prosimy pamiętać, że usunięcie konta 500px nie ma wpływu na fakt wykradzenia danych w wyniku tego zdarzenia. Kroki, które należy wykonać, aby usunąć konto, można znaleźć tutaj:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Zgodnie z naszą polityką prywatności możemy zachować dane użytkownika, jeśli jest to konieczne do spełnienia określonych wymogów prawnych.
W jaki sposób mogę uzyskać kopię wszystkich swoich danych od 500px?
500px może przesłać użytkownikowi zarchiwizowane dane pocztą e-mail. Prosimy przesłać wniosek na adres help@500px.com – zrealizujemy wniosek o udostępnienie danych w ciągu 72 godzin od potwierdzenia odbioru wiadomości e-mail przez nasz zespół.
Wiadomość e-mail dotycząca resetowania hasła nie dotarła do mnie.
Jeśli unieważniliśmy hasło, podczas następnej próby logowania do 500px za pomocą hasła pojawi się komunikat z zaleceniem jego zresetowania. Skontaktujemy się z dotkniętymi użytkownikami najszybciej jak to możliwe w ciągu najbliższych kilku dni.
Link w wiadomości e-mail nie działa.
Jeśli unieważniliśmy hasło, podczas następnej próby logowania do 500px za pomocą hasła pojawi się komunikat z zaleceniem jego zresetowania. Zalecamy wykonanie resetu tak szybko, jak to możliwe.
Dlaczego muszę zresetować hasło / dlaczego nie mogę się zalogować?
Chociaż zastosowaliśmy środki bezpieczeństwa w odniesieniu do haseł, podejmujemy dodatkowe kroki w celu ochrony danych osobowych. W ramach środków ostrożności wymagamy, aby wszyscy użytkownicy zresetowali swoje hasło do konta 500px.
Dlaczego przesłaliście mi kilka wiadomości e-mail i linków?
Użytkownicy mogli otrzymać od 500px kilka wiadomości lub powiadomień z zaleceniem dotyczącym zresetowania hasła. Wynika to z faktu, że podejmujemy wszelkie niezbędne środki ostrożności, aby mieć pewność, iż wszyscy użytkownicy wiedzą o tym zdarzeniu.