Nepřišel mi e-mail… dozvěděl jsem se to z oficiálního twitter účtu 500px

1/2 PLEASE NOTE: We recently learned of a potential security issue and have taken every precaution to ensure our users' data is safe. There is no indication of unauthorized account access, but as a precautionary measure, we are resetting all user passwords.

An email notification will include more details on this specific issue, but you can learn more on our Support page

A co teď s tím? Nedošel mi e-mail, tak jsem se přihlásil a čekal co bude. Objevila se stránka s informací v podobném duchu jako výše a prostorem pro zadání registrovaného e-mailu. Zadal jsem a čekal, kliknu na restart hesla. Ověřím se druhým faktorem, ten mimochodem není potřeba pro přihlášení - ale jen pro security část. Změnil jsem heslo a ověřím, že funguje. Hotovo.

Když se na to podívám pohledem člověka, který se v bezpečnosti pohybuje… dá se to vylepšit. V prvé řadě nebyli všichni informováni. Proces resetu hesla nebyl uplně funkční, server vracel 502. A v neposlední řadě MD5, právě tohle byla chvíle, kdy měli změnit algoritmus na bcrypt… Jsou to detaily, které jsou ale podstatné. Snad 500px kvůli tomu nepřijde o uživatele, byla by to škoda.

Aktualizace 14.2. až dnes, v 15:14 mi do e-mailu dorazilo oficiální upozornění o napadení webu… takže pozdě, ale přece!