E-mails og adgangskoder til millioner af Flaticon- og Freepik-brugere er blevet udsat
Du kan lære meget om en virksomheds holdning til sikkerhed i kølvandet på et dataovertrædelse. Du kan se, hvordan det håndterede det i fortiden, hvordan det håndteres med det i øjeblikket, og hvor langt i fremtiden det kaster blik. Desværre bliver virksomheder overtrådt næsten hver dag, og vi har masser af eksempler, der hjælper os med at sammenligne og kontrastere de forskellige reaktioner fra forskellige organisationer. Freepik, firmaet bag Freepik og Flaticon, er den seneste onlinetjeneste til at afsløre en cybersikkerhedshændelse, og vi vil nu se, hvilken slags konklusioner vi kan drage af begivenheden.
Table of Contents
Hackere stjæler oplysninger om 8,3 millioner brugere fra Freepik
Meddelelsen kom lørdag, og den er allerede blevet sendt til alle 8,3 millioner berørte brugere. Ifølge det overtrådte hackere Flaticon-webstedet og fik deres hånd i en database, der indeholder poster om de første 8,3 millioner konti, der er registreret på Flaticon.com og Freepik.com. 4,5 millioner af posterne indeholdt kun e-mail-adresser, fordi kontoejere havde brugt deres Facebook-, Twitter- eller Google-profiler til at logge på. I de resterende 3.77 millioner poster fandt hackerne også hash-kodeord. 2300 af de berørte adgangskoder blev hashet og saltet med MD5, og resten blev beskyttet af bcrypt.
Freepik begik nogle fejl i fortiden
Det er nu åbenlyst, at når du opretter en konto på et af Freepiks websteder, opretter du automatisk en konto på den anden, men når du tjekker registreringsformularerne, vil du se, at dette ikke gøres rigeligt tydeligt, hvilket er en fejltagelse. Desværre er det ikke den eneste.
Vi kan udlede af udsagnet om, at Freepik i begyndelsen hashing brugeres adgangskoder med MD5, en algoritme, der er trivielt let at knække i disse dage. Efterhånden som platformernes popularitet voksede, indså virksomheden, at det er nødvendigt at forbedre sin sikkerhed, og det skiftede til bcrypt. For dette fortjener det en klap på ryggen. Freepik tænkte dog ikke på at beskytte ejere af de første 229 tusind konti, og det er ikke en god ting.
Det er heller ikke det faktum, at hackerne brød ind ved hjælp af en SQL-injektion. Disse angreb betragtes som temmelig gamle nu, og det er virkelig ikke så svært at beskytte dit websted mod dem. Faktisk går nogle eksperter så vidt som at sige, at det er helt uacceptabelt at være sårbar over for SQL-injektioner i 2020.
Med hensyn til afsløring gjorde Freepik meget bedre end de mange ofre for dataovertrædelse, der forsøger at bagatellisere hændelsen. Denne gang har vi en klar forståelse af, hvad der skete nøjagtigt, og hvad berørte brugere har brug for. Det eneste problem, vi kan finde med Freepiks afsløring, er det faktum, at det ikke oplyste, hvornår overtrædelsen skete nøjagtigt.
Freepik vil forhåbentlig forsøge at gøre det bedre i fremtiden
Skaden i forbindelse med dataovertrædelser er uundgåelig, men hvis en virksomhed virkelig ønsker at redde sit ansigt, er det nødvendigt at vise brugerne, at de har indset, hvad der skete og har lært sine erfaringer. Freepik har gjort det ret godt i den henseende.
De lækkede adgangskoder, der er hashet med MD5, er nulstillet og er ikke længere aktive. Brugere blev informeret om det og opfordres til at vælge nye, stærke adgangskoder. De, hvis legitimationsoplysninger blev hashet med bcrypt, bliver også opmærksomme på hændelsen, og de rådes til at ændre deres adgangskoder ud af en overflod af forsigtighed. Freepik sendte også e-mails til de brugere, der tilmeldte sig deres sociale mediekonti. De skal være på udkig efter mistænkelige e-mails og potentielle phishing-angreb.
Vigtigere er det, Freepik siger, at den er ved at indføre foranstaltninger for at sikre, at hackerne fra nu af ikke er i stand til at bryde ind så let. Forhåbentlig fungerer de.
