Hackere sælger 8,3 millioner 123RF-brugeroptegnelser

Aktiebilledsiden 123RF dot com led et cyberangreb i midten af november 2020. Ifølge rapporter blev omkring 8,3 millioner brugeroptegnelser stjålet af dårlige skuespillere og er nu sat til salg.

123RF er et af de mere populære websteder med lagerbilleder, der primært tilbyder royaltyfrie billeder til forskellige publikationsformål. Webstedet har en ret aktiv og stor brugerbase med over 25 millioner månedlige besøgende. Dets moderselskab, Inmagine Group, meddelte for nylig, at dårlige skuespillere havde fået adgang til en 123RF-server og stjal kundeoplysninger fra den. Den kompromitterede database indeholdt 8,3 millioner brugeroptegnelser.

Hashede adgangskoder er muligvis ikke så sikre, som du tror

De stjålne data er allerede blevet sat til salg på hackerfora og indeholder personligt identificerbare oplysninger. Kundens fulde navne, e-mail-adresser, IP-adresser samt Paypal-e-mails og telefonnumre er blandt de stjålne data. Værst af alt, databasen indeholdt også adgangskoder, der er blevet hash ved hjælp af kun MD5-kryptering. Den lille gode nyhed, der var inkluderet i meddelelsen, var, at ingen økonomiske og betalingsoplysninger var indeholdt i brugeroptegnelserne.

Det er velkendt, at MD5 ikke er en særlig sikker krypteringsmetode, og der er store MD5-databaser, som poster kan sammenlignes med og dekrypteres.

Det ser ud til, at Inmagine Group også forstår, at da de udsendte en advarsel til 123RF-brugere om straks at ændre deres adgangskoder på andre tjenester og platforme, hvis de brugte den samme adgangskode på tværs af forskellige logins.

Hvis det er en trøst, var den database, der blev ulovligt åbnet, noget forældet og indeholdt poster, der sidst blev opdateret i slutningen af 2019.

Igen, som med ethvert andet databrud, er der intet, som den almindelige bruger kan gøre, efter lækagen er sket. Det eneste, der kan holde dig sikker i lignende situationer, er at aldrig bruge den samme adgangskode på tværs af forskellige platforme for at sikre, at en kompromitteret database ikke giver din hovedadgangskode i hænderne på cyberkriminelle.

November 20, 2020

Efterlad et Svar