安全问题 2019 年 2 月:常见问题 (FAQ)
更新日期:2019 年 2 月 13 日,美国东部时间 (EST) 上午 11 点
(可在此查看原始版本的翻译)
发生了什么事情?
2019 年 2 月 8 日,我们的工程师团队注意到了一个影响某些用户个人资料的潜在安全问题。我们立即对我们的系统展开了全面检查,以了解该问题的性质和范围。我们聘请了第三方专家进行协助调查,并正在就此事与执法部门进行协调。
基于迄今为止的调查结果,我们认为,大概在 2018 年 7 月 5 日,有未经授权的一方访问了我们的系统并获得了部分用户的数据。我们已得出结论,该事件影响到了用户在填写个人资料时提供的某些信息,如下方所列内容。我们的工程师们正在密切监控我们的平台,迄今为止我们没有发现此问题再次出现的证据。
作为预防措施,我们正在重置所有用户的 500px 帐户密码。我们将向数据受到影响的用户发送电子邮件通知,以提供重置密码的方法说明。
我们目前正在为所有用户进行整个系统的密码重置,按潜在风险排列优先级;而且,我们已经强制重置了所有 MD5 加密密码。
哪些类型的用户数据受到了影响?
- 您在 500px 上输入的名字和姓氏
- 您的 500px 用户名
- 与您的 500px 登录相关联的电子邮件地址
- 您的密码的哈希值,使用单向加密算法进行哈希处理
- 您的出生日期,如提供
- 您的城市、州/省份、国家,如提供
- 您的性别,如提供
我怎么知道我是否受到了影响?
如果您在 2018 年 7 月 5 日当天或之前是 500px 的用户,您就已经受到了影响。
我们正在通过电子邮件、网站和手机通知所有用户,但是,鉴于受影响的用户数量,您收到的通知可能会有所延迟。
鉴于所涉及的个人资料的性质,无论您是否直接受到影响,我们都会提醒您注意该事件,以便您采取措施保护自己免受网络钓鱼、垃圾邮件和其它对您信息的滥用所带来的风险,这些都是该事件会造成的后果。如果您在任何其它网站或应用程序上使用了与您的 500px 账户相同或类似的密码,我们建议您修改该密码。
我还没有收到要求我重置密码的邮件
我们目前正在努力通知我们的整个用户群,并根据潜在风险进行优先排序。但是,鉴于受影响的用户数量,此项工作将至少持续一整天。用户可能会收到电子邮件通知,其中包含在不同时间重置密码的提示。如果您尚未收到该电子邮件,我们建议您重置密码(如果尚未重置)。
如果您过去曾将 500px 的电子邮件标记为垃圾邮件,则可能不会收到电子邮件通知。不幸的是,这不是我们可以单方解决的问题(以确保我们的用户不会收到他们视为垃圾邮件的电子邮件)。 相反,您需要将来自 500px.com 的电子邮件列入白名单,以便再次通过电子邮件服务供应商接收这些电子邮件。基于您使用的电子邮件供应商的不同,此过程可能会有所不同。
我已经重置了密码,还需要再次重置吗?
如果您在美国东部时间 2 月 12 日凌晨 3 点后重置了密码,则无需再次重置。但如果您愿意的话,也可以在此处重置密码。
你们什么时候首次意识到该安全问题?
在 2 月 8 日,我们的工程师团队注意到了一个潜在的安全问题并立即开始着手调查。
为解决该问题,你们做了哪些事情?
- 鉴于所涉及的个人资料的性质,我们已经强制重置了所有 MD5 加密密码,并正在进行整个系统的密码重置。
- 我们已经审查了对服务器、数据库和其它敏感数据存储服务的访问权限。
- 我们已经并将继续监控面向公众和内部的源代码,以防止出现安全问题。
- 我们正在与领先的网络安全专家合作,以进一步保护我们的网站、移动应用程序、内部系统和安全流程。
- 我们正在修改我们的内部软件开发流程。
- 我们将继续升级我们的网络基础设施。
如果你们是在 2 月 8 日发现了该违规行为,为什么我现在才听到这个消息?
重要的是,我们能够确保在确认该事件的细节之前向用户提供准确的信息。鉴于涉及的个人信息的性质,我们的主要关注点以及我们按优先顺序展开的行动,是为了确保:
1)我们的系统是安全的;
2)我们用户的数据是安全的,不会受到进一步的破坏或遭遇未经授权的账户访问;
3)我们正在将准确的信息传达给我们的用户,随后进行公共沟通。
我们目前正在努力通知我们的整个用户群,并根据潜在风险进行优先排序。但是,鉴于受影响的用户数量,此项工作将至少持续一整天。尽管该破坏行动不会影响 2018 年 7 月 5 日之后注册的用户,但我们仍希望采取所有可能的预防措施来确保我们用户的安全。
哪些数据没有被窃取?
目前,没有任何迹象表明您的帐户有未经授权的访问,并且也没有证据表明与您的个人用户资料相关的其它数据受到了影响,例如您若用于任何购物的信用卡信息(未存储在我们的服务器上)或任何其它个人敏感信息。
你们是否已经通知执法部门?
除了保留一家安全公司协助我们进行调查和完成后续事项外,我们还通知了执法部门。
我们如何才能相信这种事情不会再次发生?
在未来,我们将继续加强我们的安全措施,以帮助确保您的数据安全,并且我们正在采取其它措施来预防此类事件再次发生。
我们正在继续升级我们的网络基础设施。在过去的 12 个月中,我们对网络基础设施进行了重大升级——该项目即将完成,并将大大提高安全性。
如果我是使用社交帐户 (Google+,Facebook) 登录的,你们还有我的密码吗?
作为从外部社交平台登录的用户,您仍然可以在我们这里输入密码,但我们不会存储您的Google+、Facebook或社交账户的登陆密码。当您通过社交帐户登录时,我们会收到一个会话令牌并储存在我们的服务器上。当该会话令牌到期时,我们会要求您通过社交帐户登录,每次登陆都会给我们一个新的令牌。
我想要删除我的 500px 账户。
请注意,删除您的 500px 帐户并不会影响到您的信息是否因该破坏事件受到损害。您可在此处找到删除帐户的步骤:
https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
根据我们的隐私政策,我们可能会在必要时保留您的数据,以遵守特定的法律义务。
我如何从 500px 获取我的所有数据的副本?
500px 可以通过电子邮件向您发送您的存档数据。请向 help@500px.com 发送请求,我们的团队可在确认收到电子邮件后的 72 小时内满足您对数据的请求。
我没有收到密码重置邮件。
如果我们已使您的密码失效,当您下次尝试使用密码登录 500px 时,系统将提示您重置密码。我们会在接下来的几天内尽快联系受影响的用户。
电子邮件中的链接不起作用。
如果我们已使您的密码失效,当您下次尝试使用密码登录 500px 时,系统将提示您重置密码。我们建议您尽早这样做。
我为什么必须重置密码/我为何无法登陆?
尽管我们已采取了密码安全措施,但我们还在实施其它措施来保护您的个人资料。作为预防措施,我们要求所有用户重置其 500px 帐户密码。
我为什么收到了多个电子邮件和链接?
您可能已收到多条来自 500px 的消息或密码重置提示。这是因为我们正在采取一切预防措施,以确保我们的所有用户都了解该事件。