Os utilizadores do website de fotografia 500px precisarão alterar as suas palavras-passe pessoais de acesso ao website após ter sido detetada uma violação de dados.
Os invasores conseguiram obter dados parciais dos utlizadores anterior a 5 de julho de 2018.
De acordo com uma publicação no blog da empresa, os tipos de dados atingidos incluem nomes de utilizador, nomes e sobrenomes, endereço de e-mail, representações da palavra-passe (hash), data de nascimento, informações de endereço e sexo.
“If you were a 500px user on or prior to July 5, 2018, you have been affected,” the company said.
“We’ve concluded this issue affected certain information that users provided when filling out their user profiles.”
What type of user data was affected?
- Your first and last name as entered on 500px
- Your 500px username
- The email address associated with your 500px login
- A hash of your password, which was hashed using a one-way cryptographic algorithm
- Your birth date, if provided
- Your city, state/province, country, if provided
- Your gender, if provided
Como medida de precaução, o 500px aconselha a que todos os utilizadores alterem as suas passwords de contax.
Uma notificação via email será enviada a todos os utilizadores afetados (registados ante de 5 de julho 2018) e que fornecerá instruções de como redefinir as suas passwords.
De notar ainda que as representações de palavras-passe armazenadas no sistema são o hash-MD5. Este tipo de função one-way é totalmente obsoleta nos dias de hoje e é possível encontrar dicionários com as combinações das palavras-passe originais e o hash correspondente. É uma hash totalmente obsoleta e desaconselhada.
Durante o dia 8 de fevereiro, a equipa de engenheiros da empresa descobriu um possível problema de segurança e começou a investigar imediatamente, onde foi detetada a violação.
A empresa está a tomar medidas adicionais para reforçar a sua segurança.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.