Problemă de securitate, februarie 2019: Întrebări frecvente
ACTUALIZAT: 13 februarie 2019, 11:00 EST
(Traducere a versiunii originale disponibilă aici)
Ce s-a întâmplat?
Pe 8 februarie 2019, echipa noastră tehnică a aflat despre o potențială problemă de securitate care afectează anumite date ale profilurilor de utilizator. Am lansat imediat o verificare cuprinzătoare a sistemelor noastre pentru a înțelege natura și întinerea acestei probleme. Am angajat un expert terță parte care să ne ajute cu investigația și colaborăm cu autoritățile pentru această problemă.
Pe baza investigațiilor noastre de până acum, credem că o parte neautorizată a dobândit acces la sistemele noastre și a obținut date parțiale ale utilizatorilor în jurul datei de 5 iulie 2018. Am tras concluzia că această problemă a afectat anumite informații pe care utilizatorii le-au furnizat când și-au completat profilurile de utilizator, după cum se specifică mai jos. Inginerii noștri monitorizează îndeaproape platforma noastră și, până la această dată, nu am găsit nicio dovadă cu privire la reapariția acestei probleme.
Ca precauție, resetăm parolele conturilor tuturor utilizatorilor 500px. Un e-mail de notificare va oferi instrucțiuni persoanelor afectate pentru cum să își reseteze parolele.
În acest moment are loc o resetare a parolelor în întreg sistemul, pentru toți utilizatorii, în ordinea priorității în funcție de riscul potențial, și am resetat deja forțat toate parolele criptate cu MD5.
Ce tip de date ale utilizatorilor a fost afectat?
- Numele și prenumele, așa cum a fost introdus pe 500px
- Numele de utilizator 500px
- Adresa de e-mail asociată contului 500px
- Un hash al parolei, care a fost indexată prin hashing folosind un algoritm criptografic cu un singur sens
- Data nașterii, dacă a fost furnizată
- Orașul, statul/provincia, țara, dacă au fost furnizate
- Sexul, dacă a fost furnizat
Cum știu dacă am fost afectat(ă)?
Dacă ați fost utilizator 500px pe sau înainte de 5 iulie 2018, ați fost afectat(ă).
În acest moment notificăm toți utilizatorii prin e-mail, la fața locului și cu notificări mobile; cu toate acestea, dat fiind numărul de utilizatori afectați, pot exista întârzieri ale notificărilor pe care le primiți.
Indiferent dacă ați fost sau nu afectat(ă), dată fiind natura datelor personale implicate, vă alertăm cu privire la această problemă, ca să puteți lua măsuri pentru a vă proteja împotriva riscului de phishing, spam și alte utilizări rău-intenționate ale informațiilor dvs. ca rezultat al acestei probleme. Vă recomandăm să vă schimbați parola pe toate celelalte site-uri sau aplicații în care folosiți o
parolă identică sau similară cu parola contului dvs. 500px.
Nu am primit încă un e-mail pentru a-mi reseta parola
Se lucrează în prezent la notificarea întregii baze de utilizatori ai noștri, în ordinea priorității după riscul potențial. Cu toate acestea, dat fiind numărul de utilizatori afectați, această activitate va dura cel puțin o zi. Este posibil ca utilizatorii să primească notificarea pe e-mail ce include o solicitare de a reseta parola în momente diferite. Dacă nu ați primit încă e-mailul, vă recomandăm să vă resetați parola, dacă nu ați făcut-o deja.
Dacă ați marcat e-mailuri de la 500px ca spam în trecut, este posibil să nu primiți e-mailul de notificare. Din păcate, aceasta nu este o problemă pe care să o putem corecta noi (de a ne asigura că utilizatorii nu primesc e-mailuri pe care le consideră spam). Va trebui să treceți pe lista albă e-mailurile de la 500px.com pentru a le primi din nou cu furnizorul dvs. de servicii de e-mail. Procesul poate fi diferit, în funcție de furnizorul de e-mail pe care îl folosiți.
Mi-am resetat deja parola. Trebuie să o resetez din nou?
Dacă v-ați resetat parola după ora 03:00 EST pe 12 februarie, nu trebuie să o resetați din nou. Cu toate acestea, dacă doriți, vă puteți reseta parola aici.
Când ați aflat despre problema de securitate?
Pe 8 februarie, echipa noastră tehnică a aflat despre o potențială problemă de securitate și a început imediat să investigheze.
Ce ați făcut pentru a remedia problema?
- Dată fiind natura datelor personale implicate, am efectuat deja o resetare forțată a tuturor parolele criptate cu MD5, și în acest moment are loc o resetare a parolelor în întreg sistemul.
- Am examinat accesul la serverele noastre, la bazele de date și la alte servicii de stocare a datelor sensibile.
- Am monitorizat și continuăm să monitorizăm codul nostru sursă, atât cel public, cât și cel intern, pentru a ne proteja împotriva problemelor de securitate.
- Colaborăm cu experți de vârf în securitate cibernetică pentru a securiza și mai mult site-ul, aplicațiile pentru mobil, sistemele interne și procesele noastre de securitate.
- Modificăm procesul nostru intern de dezvoltare de software.
- Continuăm să modernizăm infrastructura rețelei noastre.
Dacă ați aflat despre breșă pe 8 februarie, de ce am auzit abia acum despre ea?
A fost important să ne asigurăm că furnizăm utilizatorilor noștri informații exacte înainte de a confirma detaliile breșei. Dată fiind natura datelor personale implicate, principalele noastre preocupări și, în consecință, activitățile noastre în ordinea priorității, au fost să ne asigurăm că:
1) sistemul nostru era securizat;
2) datele utilizatorilor noștri erau în siguranță, apărate de breșe ulterioare și accesul neautorizat la conturi;
3) transmitem informații exacte utilizatorilor noștri, urmate de comunicare publică.
Se lucrează în prezent la notificarea întregii baze de utilizatori ai noștri, în ordinea priorității după riscul potențial. Cu toate acestea, dat fiind numărul de utilizatori afectați, această activitate va dura cel puțin o zi. Deși această breșă nu afectează utilizatorii care s-au înregistrat după 5 iulie 2018, dorim să luăm toate măsurile posibile pentru a asigura securitatea utilizatorilor noștri.
Ce date nu au fost luate?
În acest moment, nu există niciun indiciu de acces neautorizat la contul dvs. și nu există dovezi că au fost afectate alte date asociate cu profilul dvs. de utilizator, cum ar fi informațiile cardului de credit (care nu sunt stocate pe serverele noastre), dacă au fost utilizate la efectuarea unor achiziții, sau alte informații personale sensibile.
Ați alertat autoritățile?
Am alertat autoritățile și colaborăm cu o companie de securitate care ne ajută cu investigația și cu următoarele măsuri.
Cum putem ști că acest lucru nu se va mai întâmpla?
Pe viitor vom continua să îmbunătățim măsurile de siguranță pentru a vă păstra datele în siguranță și implementăm măsuri suplimentare pentru a împiedica repetarea acestui tip de incidente.
Continuăm să modernizăm infrastructura rețelei noastre. În ultimele 12 luni, am efectuat o modernizare importantă a infrastructurii rețelei noastre – acest proiect este aproape finalizat și va oferi și o sporire importantă a securității.
Dacă m-am conectat cu un cont de pe o rețea de socializare (Google+, Facebook), aveți parola mea?
Ca utilizator conectat cu o platformă de socializare externă, puteți să vă conectați la noi cu o parolă, însă noi nu stocăm parolele dvs. pentru Google+, Facebook sau alte rețele de socializare. Când vă conectați cu un cont de socializare, primim un token de sesiune care este stocat pe serverele noastre. Când tokenul sesiunii expiră, vă solicităm să vă conectați cu contul de pe rețeaua de socializare pentru a ne trimite un token nou de fiecare dată.
Vreau să îmi șterg contul meu 500px.
Rețineți că, dacă vă ștergeți contul 500px, acest lucru nu afectează faptul că informațiile dvs. au fost compromise de această breșă. Pașii pentru ștergerea contului pot fi găsiți aici:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Conform politicii noastre de confidențialitate, putem păstra datele dvs. dacă este necesar, pentru a respecta obligațiile legale specifice.
Cum pot obține o copie a tuturor datelor mele de pe 500px?
500px vă poate trimite o arhivă a datelor dvs. pe e-mail. Trimiteți o cerere la help@500px.com, și putem da curs solicitării de date în 72 de ore de la confirmarea primirii e-mailului de către echipa noastră.
Nu am primit e-mailul de resetare a parolei.
Dacă v-am invalidat parola, vi se va solicita să vă resetați parola data viitoare când încercați să vă conectați cu o parolă la 500px. Contactăm utilizatorii afectați cât mai curând posibil pe parcursul următoarelor câteva zile.
Linkul din e-mail nu funcționează.
Dacă v-am invalidat parola, vi se va solicita să vă resetați parola data viitoare când încercați să vă conectați cu o parolă la 500px. Vă recomandăm să faceți acest lucru cât mai curând.
De ce trebuie să-mi resetez parola/de ce nu mă pot conecta?
Deși am luat măsuri de securitate a parolei, întreprindem acțiuni suplimentare pentru a vă proteja datele personale. Ca precauție, solicităm tuturor utilizatorilor să își reseteze parolele conturilor 500px.
De ce am mai multe e-mailuri și linkuri?
Este posibil să fi primit mai multe mesaje sau solicitări de resetare a parolei de la 500px. Aceasta deoarece luăm toate măsurile necesare pentru a ne asigura că i-am anunțat pe toți utilizatorii noștri despre acest incident.