ปัญหาด้านความปลอดภัย กุมภาพันธ์ 2019: คำถามที่พบบ่อย
ปรับปรุง: 13 ก.พ. 2019 เวลา 11:00 น. EST
(แปลจากต้นฉบับที่นี่)
เกิดอะไรขึ้น
เมื่อวันที่ 8 กุมภาพันธ์ 2019 คณะวิศวกรของเราได้ทราบถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้น ซึ่งส่งผลกระทบต่อข้อมูลโปรไฟล์ผู้ใช้บางอย่าง ทางเราได้ดำเนินการตรวจสอบระบบของเราอย่างครอบคลุมโดยทันทีแล้ว เพื่อทำความเข้าใจถึงสภาพและขอบเขตของปัญหาที่เกิดขึ้น และได้ว่าจ้างผู้เชี่ยวชาญจากภายนอกเพื่อให้ความช่วยเหลือเราในการตรวจสอบข้อเท็จจริง โดยในขณะนี้เรากำลังประสานงานกับหน่วยงานบังคับใช้กฎหมายในเรื่องนี้ด้วย
จากการตรวจสอบข้อเท็จจริงของเราจนถึงปัจจุบัน เราเชื่อว่ามีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบของเรา และได้นำข้อมูลผู้ใช้ไปบางส่วนเมื่อวันที่ 5 กรกฎาคม 2018 โดยประมาณ เราสรุปได้ว่า ปัญหานี้ส่งผลกระทบต่อข้อมูลบางอย่างที่ผู้ใช้ได้ให้ไว้ขณะกรอกโปรไฟล์ผู้ใช้ของตนเอง ดังที่แสดงไว้ด้านล่าง ขณะนี้ วิศวกรของเรากำลังติดตามและตรวจสอบแพลตฟอร์มของเราอย่างใกล้ชิด และจนถึงปัจจุบัน เรายังไม่พบหลักฐานใด ๆ ที่แสดงถึงการเกิดขึ้นซ้ำของปัญหานี้
ดังนั้น เพื่อเป็นการไม่ประมาท เราจะทำการรีเซ็ตรหัสผ่านบัญชี 500px ของผู้ใช้ทั้งหมด โดยส่งอีเมลแจ้งเตือนพร้อมให้คำแนะนำแก่ผู้ที่ข้อมูลได้รับผลกระทบเกี่ยวกับวิธีการรีเซ็ตรหัสผ่านของตนเอง
ในขณะนี้ การรีเซ็ตรหัสผ่านทั่วทั้งระบบนั้นอยู่ระหว่างดำเนินการสำหรับผู้ใช้ทุกคน โดยให้ลำดับความสำคัญตามความเสี่ยงที่อาจเกิดขึ้น ทั้งนี้ เรายังได้บังคับรีเซ็ตรหัสผ่านที่เข้ารหัสแบบ MD5 ทั้งหมดแล้ว
ข้อมูลผู้ใช้ประเภทใดบ้างที่ได้รับผลกระทบ
- ชื่อและนามสกุลของคุณที่ระบุไว้ใน 500px
- ชื่อผู้ใช้ 500px ของคุณ
- ที่อยู่อีเมลที่เชื่อมโยงกับล็อกอิน 500px ของคุณ
- แฮชรหัสผ่านของคุณ ซึ่งถูกแฮชโดยใช้อัลกอริทึมการเข้ารหัสลับแบบทางเดียว
- วันเดือนปีเกิดของคุณ ถ้าระบุไว้
- เมือง, รัฐ/จังหวัด, ประเทศที่คุณอยู่อาศัย ถ้าระบุไว้
- เพศของคุณ ถ้าระบุไว้
ฉันจะรู้ได้อย่างไรว่าฉันได้รับผลกระทบ
หากคุณเป็นผู้ใช้ 500px ในหรือก่อนวันที่ 5 กรกฎาคม 2018 นั่นแสดงว่า คุณคือผู้ได้รับผลกระทบ
เรากำลังดำเนินการแจ้งให้ผู้ใช้ทุกคนทราบผ่านทางอีเมล รวมถึงนอกสถานที่ และผ่านการแจ้งเตือนทางโทรศัพท์มือถือ อย่างไรก็ตาม เนื่องด้วยผู้ใช้ที่ได้รับผลกระทบนั้นมีปริมาณมาก จึงอาจทำให้มีความล่าช้าในการแจ้งเตือนที่คุณจะได้รับ
ไม่ว่าคุณจะเป็นผู้ได้รับผลกระทบโดยตรงหรือไม่ก็ตาม เนื่องด้วยลักษณะของข้อมูลส่วนบุคคลที่มีส่วนเกี่ยวข้อง เราจึงต้องแจ้งให้คุณรับทราบถึงเรื่องนี้ เพื่อให้คุณสามารถดำเนินการเพื่อช่วยป้องกันตัวคุณเองจากความเสี่ยงของฟิชชิ่ง สแปม และการนำข้อมูลของคุณไปใช้งานในทางที่ผิดอันเป็นผลมาจากปัญหาดังกล่าวนี้ เราขอแนะนำให้คุณเปลี่ยนรหัสผ่านที่ใช้งานบนเว็บไซต์หรือแอปอื่น ๆ ที่เป็นรหัสผ่านเดียวกันหรือคล้ายกันกับรหัสผ่านสำหรับบัญชี 500px ของคุณ
ฉันยังไม่ได้รับอีเมลที่แจ้งให้รีเซ็ตรหัสผ่านของฉันเลย
ขณะนี้เรากำลังพยายามแจ้งให้ผู้ใช้ทั้งหมดในฐานผู้ใช้ของเรารับทราบตามลำดับความเสี่ยงที่อาจเกิดขึ้นเป็นสำคัญ อย่างไรก็ตาม เนื่องด้วยผู้ใช้ที่ได้รับผลกระทบนั้นมีจำนวนมาก งานนี้จึงจะใช้เวลาหนึ่งวันเป็นอย่างน้อย ผู้ใช้อาจได้รับการแจ้งเตือนทางอีเมลที่แจ้งให้ทำการรีเซ็ตรหัสผ่านในเวลาที่ต่างกัน หากคุณยังไม่ได้รับอีเมลดังกล่าว เราขอแนะนำให้คุณทำการรีเซ็ตรหัสผ่านด้วยตนเองหากคุณยังไม่ได้ดำเนินการ
หากในอดีตคุณเคยทำเครื่องหมายอีเมลจาก 500px ว่าเป็นสแปม คุณอาจไม่ได้รับอีเมลแจ้งเตือน ซึ่งน่าเสียดายที่นี่ไม่ใช่ปัญหาที่เราสามารถแก้ไขได้จากทางฝั่งของเรา (เพื่อให้แน่ใจว่าผู้ใช้ของเราจะไม่ได้รับอีเมลที่ผู้ใช้มองว่าเป็นสแปม) ดังนั้น คุณจึงต้องให้อนุญาตอีเมลจาก 500px.com เพื่อให้สามารถรับอีเมลอีกครั้งกับทางผู้ให้บริการอีเมลของคุณ ซึ่งกระบวนการนี้อาจแตกต่างกันไปขึ้นอยู่กับผู้ให้บริการอีเมลที่คุณใช้งาน
ฉันรีเซ็ตรหัสผ่านไปแล้ว ฉันยังจำเป็นต้องทำอีกครั้งหรือไม่
หากคุณรีเซ็ตรหัสผ่านหลังเวลา 03:00 น. EST ในวันที่ 12 ก.พ. คุณจะไม่จำเป็นต้องรีเซ็ตรหัสผ่านอีกครั้ง แต่ถ้าหากคุณต้องการ คุณสามารถรีเซ็ตรหัสผ่านของคุณได้ที่นี่
คุณทราบถึงปัญหาด้านความปลอดภัยนี้เมื่อใด
คณะวิศวกรของเราได้ทราบถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นเมื่อวันที่ 8 กุมภาพันธ์ และเริ่มตรวจสอบข้อเท็จจริงในทันที
คุณได้ทำอะไรบ้างเพื่อแก้ไขปัญหานี้
- ด้วยลักษณะของข้อมูลส่วนบุคคลที่มีส่วนเกี่ยวข้อง เราได้บังคับรีเซ็ตรหัสผ่านที่เข้ารหัสแบบ MD5 ทั้งหมดแล้ว และอยู่ระหว่างดำเนินการรีเซ็ตรหัสผ่านทั่วทั้งระบบ
- เราได้ดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์ ฐานข้อมูล และบริการจัดเก็บข้อมูลที่สำคัญอื่น ๆ ของเราแล้ว
- เรามีการและกำลังตรวจสอบซอร์สโค้ดของเราอย่างต่อเนื่อง ในทั้งต่อหน้าสาธารณะและภายในองค์กร เพื่อป้องกันปัญหาด้านความปลอดภัย
- เราร่วมมือกับผู้เชี่ยวชาญชั้นนำด้านความปลอดภัยในโลกไซเบอร์เพื่อเพิ่มความปลอดภัยให้กับเว็บไซต์ แอปมือถือ ระบบภายใน และกระบวนการรักษาความปลอดภัยของเรา
- เรากำลังแก้ไขกระบวนการพัฒนาซอฟต์แวร์ภายในของเรา
- เรากำลังยกระดับโครงสร้างพื้นฐานเครือข่ายของเราอย่างต่อเนื่อง
ถ้าคุณทราบถึงการละเมิดข้อมูลส่วนบุคคลตั้งแต่วันที่ 8 ก.พ. แล้ว ทำไมฉันเพิ่งได้รู้เรื่องในตอนนี้
สิ่งสำคัญคือเราต้องแน่ใจว่า เราได้ให้ข้อมูลที่ถูกต้องแก่ผู้ใช้ของเราก่อนที่จะยืนยันถึงรายละเอียดการละเมิดข้อมูลส่วนบุคคล และเนื่องด้วยลักษณะของข้อมูลส่วนบุคคลที่มีส่วนเกี่ยวข้องนี้ ด้วยเหตุนี้ ความกังวลหลักของเรา รวมถึงกิจกรรมของเราตามลำดับความสำคัญ จึงเป็นการทำให้แน่ใจว่า:
1) ระบบของเรามีความปลอดภัย
2) ข้อมูลของผู้ใช้ของเราปลอดภัยจากการละเมิดเพิ่มเติมและการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต
3) มีการให้ข้อมูลที่ถูกต้องแก่ผู้ใช้ของเรา แล้วตามด้วยการสื่อสารสู่สาธารณะ
ขณะนี้เรากำลังพยายามแจ้งให้ผู้ใช้ทั้งหมดในฐานผู้ใช้ของเรารับทราบตามลำดับความเสี่ยงที่อาจเกิดขึ้นเป็นสำคัญ อย่างไรก็ตาม เนื่องด้วยผู้ใช้ที่ได้รับผลกระทบนั้นมีจำนวนมาก งานนี้จึงต้องใช้เวลาดำเนินการหนึ่งวันเป็นอย่างน้อย แม้ว่าการละเมิดข้อมูลส่วนบุคคลดังกล่าวนี้ไม่ส่งผลกระทบกับผู้ใช้ที่ลงทะเบียนหลังวันที่ 5 กรกฎาคม 2018 ก็ตาม เราก็ต้องการดำเนินการทุกวิถีทางเพื่อรับรองความปลอดภัยให้แก่ผู้ใช้ของเรา
มีข้อมูลอะไรบ้างที่ไม่ได้ถูกเอาไป
ในขณะนี้ ไม่พบข้อบ่งชี้ว่ามีการเข้าถึงบัญชีของคุณโดยไม่ได้รับอนุญาต และไม่พบหลักฐานที่แสดงว่าข้อมูลอื่น ๆ ที่เกี่ยวข้องกับโปรไฟล์ผู้ใช้ของคุณได้รับผลกระทบ เช่น ข้อมูลบัตรเครดิต (ซึ่งไม่ได้เก็บไว้ในเซิร์ฟเวอร์ของเรา) หากเคยใช้งานเพื่อซื้อผลิตภัณฑ์หรือบริการ หรือข้อมูลส่วนบุคคลอื่น ๆ ที่ละเอียดอ่อน
คุณได้แจ้งให้หน่วยงานบังคับใช้กฎหมายทราบแล้วหรือไม่
เราได้แจ้งให้หน่วยงานบังคับใช้กฎหมายทราบแล้ว อีกทั้งยังได้ว่าจ้างบริษัทรักษาความปลอดภัยให้มาช่วยเราสืบสวนข้อเท็จจริงและชี้แนะการดำเนินการในขั้นตอนถัดไป
เราจะเชื่อได้อย่างไรว่าปัญหานี้จะไม่เกิดขึ้นอีก
ในอนาคต เราจะปรับปรุงมาตรการรักษาความปลอดภัยของเราอย่างต่อเนื่อง เพื่อช่วยรักษาความปลอดภัยให้กับข้อมูลของคุณ นอกจากนี้ เรากำลังดำเนินมาตรการเพิ่มเติมเพื่อช่วยป้องกันไม่ให้เหตุการณ์เช่นนี้เกิดขึ้นอีก
เรากำลังยกระดับโครงสร้างพื้นฐานเครือข่ายของเราอย่างต่อเนื่อง โดยในช่วง 12 เดือนที่ผ่านมา เราได้ดำเนินการยกระดับโครงสร้างพื้นฐานเครือข่ายของเราครั้งใหญ่ ซึ่งโครงการนี้ก็ใกล้จะเสร็จสิ้นแล้ว และจะเพิ่มขีดความสามารถในการรักษาความปลอดภัยได้อย่างมีนัยสำคัญ
หากฉันเข้าสู่ระบบด้วยบัญชีโซเชียล (Google+, Facebook) คุณจะยังมีรหัสผ่านของฉันหรือไม่
ในฐานะผู้ใช้ที่เข้าสู่ระบบจากแพลตฟอร์มโซเชียลภายนอก คุณยังคงสามารถให้รหัสผ่านกับเราได้ แต่เราจะไม่เก็บข้อมูลรหัสผ่านสำหรับเข้าสู่ระบบของ Google+, Facebook หรือโซเชียลอื่น ๆ เมื่อคุณเข้าสู่ระบบผ่านบัญชีโซเชียล เราจะได้รับโทเค็นเซสชันที่จะถูกเก็บไว้ในเซิร์ฟเวอร์ของเรา เมื่อโทเค็นเซสชันนั้นหมดอายุ เราจะขอให้คุณเข้าสู่ระบบผ่านทางบัญชีโซเชียลของคุณ เพื่อให้เราได้รับโทเค็นใหม่ทุกครั้ง
ฉันต้องการลบบัญชี 500px
โปรดทราบว่าการลบบัญชี 500px ของคุณนั้น ไม่มีผลใด ๆ กับการที่ข้อมูลของคุณถูกละเมิดจากเหตุการณ์ในครั้งนี้ ทั้งนี้ คุณสามารถดูขั้นตอนการลบบัญชีได้ที่นี่:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
ตามนโยบายความเป็นส่วนตัวของเรานั้น เราสามารถที่จะเก็บรักษาข้อมูลของคุณได้ ถ้ามีเหตุจำเป็นให้ต้องปฏิบัติตามภาระผูกพันตามกฎหมาย
ฉันจะรับสำเนาข้อมูลทั้งหมดของฉันจาก 500px ได้อย่างไร
500px สามารถส่งข้อมูลของคุณที่เก็บถาวรไว้ให้กับคุณทางอีเมลได้ กรุณาส่งคำขอมาที่ help@500px.com แล้วเราจะตอบรับการร้องขอข้อมูลดังกล่าวภายใน 72 ชั่วโมงที่ทีมงานของเรายืนยันว่าได้รับอีเมล
ฉันไม่ได้รับอีเมลรีเซ็ตรหัสผ่าน
หากเรายกเลิกรหัสผ่านของคุณแล้ว คุณจะได้รับแจ้งให้รีเซ็ตรหัสผ่านในครั้งต่อไปที่คุณพยายามเข้าสู่ระบบใน 500px ด้วยรหัสผ่าน โดยในช่วงหลายวันนี้เป็นต้นไป เราจะติดต่อผู้ใช้ที่ได้รับผลกระทบโดยเร็วที่สุด
ลิงก์ในอีเมลใช้งานไม่ได้
หากเรายกเลิกรหัสผ่านของคุณแล้ว คุณจะได้รับแจ้งให้รีเซ็ตรหัสผ่านในครั้งต่อไปที่คุณพยายามเข้าสู่ระบบใน 500px ด้วยรหัสผ่าน ซึ่งเราขอแนะนำให้ดำเนินการโดยเร็วที่สุด
ทำไมฉันถึงต้องรีเซ็ตรหัสผ่าน/ทำไมฉันถึงเข้าสู่ระบบไม่ได้
แม้ว่าเราจะมีมาตรการรักษาความปลอดภัยกับรหัสผ่านอยู่แล้ว แต่เรากำลังดำเนินการเพิ่มเติมเพื่อปกป้องข้อมูลส่วนบุคคลของคุณ ดังนั้น เพื่อเป็นการไม่ประมาท เราจึงกำหนดให้ผู้ใช้ทุกคนรีเซ็ตรหัสผ่านบัญชี 500px ของตนเอง
ทำไมฉันจึงได้รับอีเมลและลิงก์หลายครั้ง
คุณอาจได้รับข้อความหรือการแจ้งให้รีเซ็ตรหัสผ่านจาก 500px หลายครั้ง เช่นนี้ก็เพราะเรากำลังดำเนินการทุกวิถีทางเพื่อให้มั่นใจว่าผู้ใช้ของเราทุกคนได้รับทราบถึงเหตุการณ์นี้