Problema de Segurança - Fevereiro de 2019: Perguntas Frequentes
ATUALIZADO: 13 de fevereiro de 2019, às 11h (hora da costa leste dos Estados Unidos)
(Traduzido a partir da versão original, disponível aqui)
O que aconteceu?
No dia 8 de fevereiro de 2019, a nossa equipa de engenheiros tomou conhecimento de um possível problema de segurança que afeta alguns dos dados dos perfis dos utilizadores. Procedemos de imediato a uma análise exaustiva e criteriosa dos nossos sistemas para compreender a natureza e extensão deste problema. Contratámos também uma empresa externa, especialista em segurança, para nos auxiliar na nossa investigação, e estamos a trabalhar neste problema em coordenação com as autoridades policiais.
Com base na nossa investigação, até à data, acreditamos que terceiros, não autorizados, conseguiram aceder aos nossos sistemas e obter dados parciais dos utilizadores, por volta do dia 5 de julho de 2018. Concluímos que este problema afetou algumas das informações fornecidas pelos utilizadores aquando do preenchimento dos seus perfis de utilizador, conforme indicado abaixo. Os nossos engenheiros estão a monitorizar a nossa plataforma, de forma rigorosa, e, até à data, não encontrámos nenhuma evidência de que este problema tenha voltado a ocorrer.
Por precaução, estamos a proceder à redefinição das palavras-passe das contas 500px de todos os utilizadores. Será enviado um email de notificação aos utilizadores cujos dados foram afetados com instruções sobre o procedimento de redefinição das suas palavras-passe.
Está neste momento a decorrer uma redefinição das palavras-passe, abrangendo todo o sistema e todos os utilizadores, dando-se prioridade aos utilizadores que estão, potencialmente, em situação de maior risco, e já forçámos também a redefinição de todas as palavras-passe com encriptação MD5.
Que tipos de dados de utilizador foram afetados?
- O seu primeiro e último nome, conforme foram introduzidos na 500px
- O seu nome de utilizador da 500px
- O endereço de email associado aos dados de início de sessão na 500px
- Um “hash” (código) da sua palavra-passe, gerado usando um algoritmo criptográfico unidirecional
- A sua data de nascimento, se esta foi fornecida
- A sua cidade, estado/província e país, se estes foram fornecidos
- O seu género, se este foi fornecido
Como é que sei se fui afetado?
Se era utilizador da 500px no dia 5 de julho de 2018 (ou em data anterior), foi afetado.
Estamos neste momento a notificar todos os utilizadores através de email, bem como através do próprio sítio web e de notificações enviadas para os dispositivos móveis. No entanto, dado o grande volume de utilizadores afetados, poderão existir atrasados no processo de notificação.
Independentemente de ter sido ou não diretamente afetado, tendo em conta a natureza dos dados pessoais envolvidos, estamos a alertá-lo para este assunto para que possa tomar medidas que o ajudem a proteger-se contra o risco de phishing, de spam ou de quaisquer outros usos indevidos das suas informações, que resultem deste problema. Recomendamos que altere a sua palavra-passe em todos os sítios web ou aplicações em que esteja a usar uma palavra-passe igual ou similar à palavra-passe usada na sua conta da 500px.
Ainda não recebi um email para redefinir a minha palavra-passe
Estamos neste momento a trabalhar no sentido de notificar toda a nossa base de utilizadores, dando prioridade aos utilizadores que estão, potencialmente, em maior risco. No entanto, dada a quantidade de utilizadores afetados, esta tarefa demorará, no mínimo, um dia a ser concluída. Os utilizadores poderão receber o email de notificação, que inclui o aviso para procederem à redefinição das suas palavras-passe, em diferentes alturas. Se ainda não recebeu o email, recomendamos que redefina a sua palavra-passe (caso ainda não o tenha feito).
Se, no passado, assinalou alguns emails da 500px como sendo spam, poderá não receber o email de notificação. Infelizmente, é um problema que não pode ser corrigido por nós (o sistema funciona assim para garantir que os nossos utilizadores não recebem emails que considerem ser de spam). Para voltar a receber os nossos emails, necessitará de acrescentar os emails da 500px.com à lista de emails seguros, ou permitidos, nas configurações do seu fornecedor de serviços de email. O procedimento poderá ser diferente consoante o fornecedor de serviços de email que esteja a usar.
Já redefini a minha palavra-passe. Necessito de o voltar a fazer?
Se redefiniu a sua palavra-passe depois das 3h (hora da costa leste dos Estados Unidos) do dia 12 de fevereiro, não necessita de o voltar a fazer. No entanto, se desejar fazê-lo, pode redefinir a sua palavra-passe aqui.
Quando é que tiveram conhecimento deste problema de segurança?
No dia 8 de fevereiro, a nossa equipa de engenheiros teve conhecimento de um potencial problema de segurança e começou de imediato a investigar a situação.
O que é que fizeram para corrigir este problema?
- Tendo em conta a natureza dos dados pessoais envolvidos, forçámos desde logo a redefinição de todas as palavras-passe com encriptação MD5 e está a decorrer, neste momento, um processo de redefinição de palavras-passe que abrange todo o sistema.
- Verificámos o acesso aos nossos servidores, bases de dados e outros serviços de armazenamento de dados confidenciais.
- Monitorizámos o nosso código-fonte (e continuamos a fazê-lo), acessível ao público e interno, para nos protegermos contra problemas de segurança.
- Estabelecemos parcerias com os principais especialistas em cibersegurança para melhorar ainda mais a proteção do nosso sítio web, aplicações móveis, sistemas internos e processos de segurança.
- Estamos a modificar o nosso processo interno de desenvolvimento de software.
- Continuamos a atualizar a nossa infraestrutura de rede.
Se tiveram conhecimento da quebra de segurança no dia 8 de fevereiro, porque é que só estão a informar os utilizadores agora?
Antes de confirmarmos os detalhes da quebra de segurança, quisemos certificar-nos de que as informações fornecidas aos nossos utilizadores eram corretas. Tendo em conta a natureza dos dados pessoais envolvidos, as nossas preocupações principais determinaram as atividades a que demos prioridade. Quisemos garantir que:
1) o nosso sistema estava protegido;
2) os dados dos nossos utilizadores estavam protegidos contra novas quebras de segurança e contra qualquer acesso não autorizado às suas contas;
3) as informações a transmitir aos nossos utilizadores eram corretas (só depois disso é que procedemos à sua divulgação pública).
Estamos neste momento a trabalhar no sentido de notificar toda a nossa base de utilizadores, dando prioridade aos utilizadores que estão, potencialmente, em maior risco. No entanto, dada a quantidade de utilizadores afetados, esta tarefa demorará, no mínimo, um dia a ser concluída. Apesar de esta quebra de segurança não afetar os utilizadores que se registaram depois do dia 5 de julho de 2018, queremos tomar todos os cuidados possíveis para garantir a segurança dos nossos utilizadores.
Quais foram os dados que não foram violados?
Nesta altura, não existe qualquer indicação de acesso não-autorizado à sua conta e não há qualquer evidência de que outros dados associados ao seu perfil de utilizador tenham sido afetados, como, por exemplo, informações relativas a cartões de crédito (que não são guardadas nos nossos servidores), que pudessem ser usadas para fazer quaisquer compras, ou quaisquer outras informações pessoais confidenciais.
Alertaram as autoridades policiais?
Sim, alertámos as autoridades policiais. Além disso, estamos a trabalhar continuamente com uma empresa de segurança que nos ajuda na investigação e nos passos seguintes.
Como é que podemos ter a certeza de que isto não volta a acontecer?
No futuro, continuaremos sempre a reforçar as nossas medidas de segurança para ajudar a proteger os seus dados. Estamos também a implementar medidas adicionais para ajudar a prevenir a repetição deste tipo de incidentes.
Continuamos a atualizar a nossa infraestrutura de rede. Ao longo dos últimos 12 meses, levámos a cabo uma importante atualização da nossa infraestrutura de rede — este projeto está em fase de conclusão e proporcionará também um aumento significativo da segurança.
Se iniciar a minha sessão com a conta de uma rede social (Google+, Facebook), a 500px sabe qual é a minha palavra-passe?
Os utilizadores que acedem à 500px usando uma rede social externa continuam a poder introduzir uma palavra-passe de acesso à nossa comunidade. No entanto, não guardamos as suas palavras-passe de acesso ao Google+, ao Facebook ou a qualquer outra rede social. Quando inicia a sessão através da sua conta de uma rede social, recebemos um token (código) de sessão que é guardado nos nossos servidores. De cada vez que o token de sessão expira, pedimos-lhe que volte a iniciar a sessão através da sua conta da rede social para podermos obter um novo token.
Quero eliminar a minha conta 500px.
Tenha em consideração que a eliminação da sua conta 500px não tem qualquer efeito em relação ao eventual comprometimento das suas informações, decorrente desta quebra de segurança. Os passos a seguir para a eliminação da sua conta podem ser encontrados aqui:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
De acordo com a nossa política de privacidade, podemos conservar os seus dados, se necessário, para cumprir com obrigações legais específicas.
Como posso obter uma cópia de todos os meus dados da 500px?
A 500px pode enviar-lhe, por email, um ficheiro com os seus dados. Por favor, faça o seu pedido através do email help@500px.com. Podemos satisfazer o seu pedido de dados no prazo de 72 horas após a confirmação da receção do seu email por parte da nossa equipa.
Não recebi o email para redefinir a palavra-passe.
Se invalidámos a sua palavra-passe, ser-lhe-á pedido que proceda à redefinição da mesma na próxima vez que tentar iniciar a sessão na 500px com uma palavra-passe. Entraremos em contacto com os utilizadores afetados, o mais brevemente possível, ao longo dos próximos dias.
A ligação incluída no email não funciona.
Se invalidámos a sua palavra-passe, ser-lhe-á pedido que proceda à redefinição da mesma na próxima vez que tentar iniciar a sessão na 500px com uma palavra-passe. Recomendamos que o faça logo que possível.
Porque é que tenho de redefinir a minha palavra-passe? / Porque é que não posso iniciar a sessão?
Apesar de termos implementado medidas de segurança relativas às palavras-passe, estamos a tomar providências adicionais para proteger os seus dados pessoais. Como precaução, estamos a exigir que todos os utilizadores redefinam as suas palavras-passe da conta 500px.
Porque é que recebi vários emails e ligações?
Poderá ter recebido várias mensagens ou avisos para proceder à redefinição da palavra-passe da 500px. É uma consequência de estarmos a tomar todas as precauções para garantir que todos os nossos utilizadores foram informados deste incidente.