Problème de sécurité, février 2019 : questions fréquentes
MIS À JOUR le 13 février 2019 à 11 h (EST)
(Traduit depuis la version originale disponible ici)
Que s'est-il passé ?
Le 8 février 2019, notre équipe technique a découvert un problème de sécurité potentiel affectant certaines données du profil des utilisateurs. Nous avons immédiatement procédé à un examen complet de nos systèmes pour identifier la nature et la portée du problème. Nous avons fait appel à un expert indépendant pour nous aider à mener l'enquête et nous collaborons avec les autorités policières sur cette question.
Selon l'enquête que nous avons menée jusqu'ici, nous pensons qu'un tiers non autorisé a pu accéder à nos systèmes et récupérer certaines données des utilisateurs aux alentours du 5 juillet 2018. Nous avons conclu que ce problème avait affecté certaines informations fournies par les utilisateurs en complétant leur profil d'utilisateur, qui sont indiquées ci-dessous. Nos techniciens surveillent attentivement notre plate-forme et nous n'avons trouvé aucune preuve de récidive à ce jour.
Par mesure de précaution, nous réinitialisons le mot de passe du compte 500px de chaque utilisateur. Un e-mail de notification fournira des instructions de réinitialisation du mot de passe aux utilisateurs affectés.
Une réinitialisation générale des mots de passe est actuellement en cours pour tous les utilisateurs, en donnant la priorité à ceux les plus à risque. Nous avons déjà forcé une réinitialisation de tous les mots de passe chiffrés avec l'algorithme MD5.
Quels types de données des utilisateurs ont été affectés ?
- Votre nom de famille et votre prénom, tels que saisis sur 500px
- Votre nom d'utilisateur 500px
- L'adresse e-mail associée à votre identifiant 500px
- Un hachage de votre mot de passe, qui a été haché au moyen d'un algorithme cryptographique à sens unique
- Votre date de naissance, si vous l'avez indiquée
- Votre ville, votre état/province, votre pays, si vous les avez indiqués
- Votre sexe, si vous l'avez indiqué
Comment puis-je savoir si j'ai été affecté ?
Si vous étiez un utilisateur de 500px le 5 juillet 2018 ou à une date antérieure, vous avez été affecté.
Nous sommes en train de notifier tous les utilisateurs par e-mail ainsi que sur le site et par le biais de notifications sur mobile. Cependant, en raison du volume d'utilisateurs affectés, la réception des notifications pourrait prendre du retard.
Que vous ayez ou non été affecté directement, en raison de la nature des données personnelles en jeu, nous vous informons de cette situation pour vous permettre de prendre les mesures nécessaires pour vous protéger contre le risque d'hameçonnage, de courrier indésirable et d'autres utilisations abusives de vos informations qui pourraient en résulter. Nous vous recommandons de modifier votre mot de passe sur tout autre site web ou application que vous utilisez avec un mot de passe identique ou similaire à celui de votre compte 500px.
Je n'ai pas reçu d'e-mail m'invitant à réinitialiser mon mot de passe.
Nous nous efforçons de notifier l'ensemble de nos utilisateurs, en donnant la priorité à ceux les plus à risque. Cependant, en raison du nombre d'utilisateurs affectés, cette tâche prendra une journée au minimum. Les utilisateurs pourront recevoir l'e-mail de notification contenant une invitation à réinitialiser leur mot de passe à des moments différents. Si vous n'avez pas encore reçu l'e-mail, nous vous encourageons à réinitialiser votre mot de passe si vous ne l'avez pas déjà fait.
Si vous avez marqué des e-mails de 500px comme courriers indésirables dans le passé, il est possible que vous ne receviez pas l'e-mail de notification. Malheureusement, nous ne pouvons pas corriger ce problème de notre côté (veiller à ce que nos utilisateurs ne reçoivent pas les e-mails qu'ils considèrent comme indésirables). Vous devrez ajouter les e-mails de 500px.com à votre liste blanche afin de les recevoir de nouveau sur votre compte de messagerie électronique. Ce processus peut différer selon votre fournisseur de messagerie.
J'ai déjà réinitialisé mon mot de passe. Dois-je le modifier de nouveau ?
Si vous avez réinitialisé votre mot de passe après le 12 février à 3 h (EST), vous n'avez pas besoin de le réinitialiser de nouveau. Cependant, vous pouvez réinitialiser votre mot de passe ici si vous le souhaitez.
Quand avez-vous découvert le problème de sécurité ?
Le 8 février, notre équipe technique a découvert un problème de sécurité potentiel et a procédé à une enquête immédiatement.
Quelles mesures avez-vous prises pour corriger ce problème ?
- En raison de la nature des données personnelles affectées, nous avons d'ores et déjà forcé une réinitialisation de tous les mots de passe chiffrés avec l'algorithme MD5 et une réinitialisation générale des mots de passe est en cours.
- Nous avons contrôlé l'accès à tous nos serveurs, bases de données et autres services de stockage de données sensibles.
- Nous avons examiné et continuons d'examiner notre code source, aussi bien du côté public qu'en interne, pour protéger notre service contre les problèmes de sécurité.
- Nous nous associons à des experts reconnus de la cybersécurité pour sécuriser davantage notre site web, nos applications mobiles, nos systèmes internes et nos processus de sécurité.
- Nous modifions notre processus de développement de logiciel interne.
- Nous continuons de mettre à niveau notre infrastructure réseau.
Si vous avez découvert la faille de sécurité le 8 février, pourquoi n'en parlez-vous que maintenant ?
Il était important que nous soyons en mesure de fournir des informations précises à nos utilisateurs avant de confirmer les détails de l'incident. En raison de la nature des données personnelles affectées, nos principales préoccupations et donc nos activités par ordre de priorité, étaient de veiller à ce que :
1) notre système soit sécurisé ;
2) les données de nos utilisateurs soient protégées contre d'autres failles et accès sans autorisation aux comptes ;
3) des informations précises soient communiquées à nos utilisateurs, suivies d'une communication publique.
Nous procédons actuellement à la notification de l'ensemble de nos utilisateurs, en donnant la priorité à ceux les plus à risque. Cependant, en raison du nombre d'utilisateurs affectés, cette tâche prendra une journée au minimum. Bien que cette faille n'affecte pas les utilisateurs inscrits après le 5 juillet 2018, nous souhaitons prendre toutes les précautions nécessaires pour assurer la sécurité de nos utilisateurs.
Quelles données n'ont pas été affectées ?
À l'heure actuelle, rien ne permet d'affirmer que votre compte ait subi un accès sans autorisation, et rien ne prouve que d'autres données associées à votre profil d'utilisateur aient été affectées, telles que des numéros de cartes de crédit (qui ne sont pas enregistrés sur nos serveurs) utilisées pour effectuer des achats, ou d'autres informations personnelles sensibles.
Avez-vous averti les autorités policières ?
Nous avons averti les autorités policières et nous avons fait appel à une société de sécurité pour nous assister dans le cadre de l'enquête et des prochaines étapes.
Comment pouvez-vous m'assurer que cela ne se reproduira pas ?
À l'avenir, nous continuerons d'améliorer nos mesures de sécurité pour optimiser la sécurité de vos données et nous mettons en œuvre des mesures supplémentaires afin d'éviter que ce type d'incident ne se reproduise.
Nous continuons de mettre à niveau notre infrastructure réseau. Au cours des 12 derniers mois, nous avons entrepris d'importants travaux de modernisation de notre infrastructure réseau. Ce projet est presque terminé et apportera une amélioration significative de la sécurité.
Si je me suis connecté à l'aide d'un compte de réseau social (Google+, Facebook), avez-vous toujours mon mot de passe ?
En tant qu'utilisateur qui se connecte depuis une plate-forme de réseau social externe, vous pouvez toujours saisir un mot de passe sur notre site, mais nous n'enregistrons pas vos mots de passe Google+, Facebook ou de connexion depuis un réseau social. Lorsque vous vous connectez depuis un compte de réseau social, nous recevons un jeton de session qui est enregistré sur nos serveurs. Lorsque le jeton de session expire, nous vous demandons de vous connecter via votre compte de réseau social pour nous donner un nouveau jeton à chaque fois.
Je souhaite supprimer mon compte 500px.
Veuillez noter que la suppression de votre compte 500px n'a aucune incidence sur le fait que vos informations aient été compromises ou non par cette faille. Vous trouverez les étapes à suivre pour supprimer votre compte à cette adresse : https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
Conformément à notre politique de confidentialité, nous sommes susceptibles de conserver vos données si le respect de certaines obligations légales nous y contraint.
Comment puis-je obtenir une copie de toutes mes données auprès de 500px ?
500px peut vous envoyer une archive de l'ensemble de vos données par e-mail. Veuillez envoyer votre demande à l'adresse help@500px.com et nous y répondrons dans les 72 heures suivant la confirmation de la réception de votre e-mail par notre équipe.
Je n'ai pas reçu l'e-mail de réinitialisation du mot de passe.
Si nous avons annulé votre mot de passe, il vous sera demandé de le réinitialiser lors de votre prochaine connexion à 500px à l'aide d'un mot de passe. Nous vous recommandons de le modifier dès que possible.
Le lien contenu dans l'e-mail ne fonctionne pas.
Si nous avons annulé votre mot de passe, il vous sera demandé de le réinitialiser lors de votre prochaine connexion à 500px à l'aide d'un mot de passe. Nous vous recommandons de le modifier dès que possible.
Pourquoi dois-je réinitialiser mon mot de passe/Pourquoi ne suis-je pas en mesure de me connecter ?
Bien que nous ayons mis en place des mesures de sécurité du mot de passe, nous prenons des dispositions supplémentaires pour protéger vos données personnelles. Par précaution, nous demandons à tous nos utilisateurs de réinitialiser le mot de passe de leur compte 500px.
Pourquoi ai-je reçu plusieurs e-mails et liens ?
Vous avez peut-être reçu plusieurs messages ou invitations à réinitialiser votre mot de passe de la part de 500px. En effet, nous prenons toutes les précautions nécessaires pour veiller à ce que l'ensemble de nos utilisateurs soient informés de cet incident.