E-Mails und Passwörter von Millionen von Flaticon- und Freepik-Benutzern wurden offengelegt
Sie können viel über die Einstellung eines Unternehmens zur Sicherheit nach einer Datenverletzung lernen. Sie können sehen, wie es in der Vergangenheit damit umgegangen ist, wie es im Moment damit umgeht und wie weit es in der Zukunft seinen Blick wirft. Leider werden Unternehmen praktisch jeden Tag verletzt, und wir haben viele Beispiele, die uns helfen, die unterschiedlichen Reaktionen verschiedener Organisationen zu vergleichen und gegenüberzustellen. Freepik, das Unternehmen hinter Freepik und Flaticon, ist der neueste Onlinedienst zur Offenlegung eines Cybersicherheitsvorfalls. Wir werden nun sehen, welche Schlussfolgerungen wir aus der Veranstaltung ziehen können.
Table of Contents
Hacker stehlen Freepik Informationen über 8,3 Millionen Benutzer
Die Ankündigung kam am Samstag und wurde bereits per E-Mail an alle 8,3 Millionen betroffenen Benutzer gesendet. Demnach haben Hacker die Flaticon-Website verletzt und eine Datenbank mit Aufzeichnungen über die ersten 8,3 Millionen bei Flaticon.com und Freepik.com registrierten Konten in die Hände bekommen. 4,5 Millionen der Datensätze enthielten nur E-Mail-Adressen, da die Kontoinhaber ihre Facebook-, Twitter- oder Google-Profile verwendet hatten, um sich anzumelden. In den verbleibenden 3,77 Millionen Datensätzen fanden die Hacker auch Passwort-Hashes. Zweihundertneunundzwanzigtausend der betroffenen Passwörter wurden mit MD5 gehasht und gesalzen, und der Rest wurde durch bcrypt geschützt.
Freepik hat in der Vergangenheit einige Fehler gemacht
Es ist jetzt offensichtlich, dass Sie beim Erstellen eines Kontos auf einer der Freepik-Websites automatisch auch auf der anderen Website ein Konto erstellen. Wenn Sie jedoch die Registrierungsformulare auschecken, werden Sie feststellen, dass dies nicht ausreichend klar ist ein Fehler. Leider ist es nicht der einzige.
Wir können aus der Aussage schließen, dass Freepik zu Beginn die Passwörter der Benutzer mit MD5 gehasht hat, einem Algorithmus, der heutzutage trivial einfach zu knacken ist. Als die Popularität der Plattformen zunahm, erkannte das Unternehmen offenbar, dass es seine Sicherheit verbessern muss, und wechselte zu bcrypt. Dafür verdient es einen Klaps auf den Rücken. Freepik hat jedoch nicht daran gedacht, die Eigentümer der ersten 229.000 Konten zu schützen, und das ist keine gute Sache.
Es ist auch nicht die Tatsache, dass die Hacker mit einer SQL-Injection eingebrochen sind. Diese Angriffe gelten mittlerweile als ziemlich alt, und der Schutz Ihrer Website vor ihnen ist nicht wirklich schwierig. Einige Experten gehen sogar so weit zu sagen, dass es völlig inakzeptabel ist, 2020 anfällig für SQL-Injektionen zu sein.
In Bezug auf die Offenlegung hat Freepik viel besser abgeschnitten als die vielen Opfer von Datenschutzverletzungen, die versuchen, den Vorfall herunterzuspielen. Dieses Mal haben wir ein klares Verständnis dafür, was genau passiert ist und was betroffene Benutzer tun müssen. Das einzige Problem, das wir bei der Offenlegung von Freepik feststellen können, ist die Tatsache, dass nicht angegeben wurde, wann der Verstoß genau aufgetreten ist.
Freepik wird hoffentlich versuchen, es in Zukunft besser zu machen
Der mit Datenverletzungen verbundene Schaden ist unvermeidlich. Wenn ein Unternehmen jedoch wirklich sein Gesicht retten möchte, muss es den Benutzern zeigen, dass es erkannt hat, was passiert ist, und seine Lehren gezogen hat. Freepik hat sich in dieser Hinsicht ziemlich gut geschlagen.
Die durchgesickerten Passwörter, die mit MD5 gehasht wurden, wurden zurückgesetzt und sind nicht mehr aktiv. Die Benutzer wurden darüber informiert und werden aufgefordert, neue, sichere Passwörter auszuwählen. Diejenigen, deren Anmeldeinformationen mit bcrypt gehasht wurden, werden ebenfalls auf den Vorfall aufmerksam gemacht, und es wird empfohlen, ihre Passwörter aus Vorsicht zu ändern. Freepik hat auch E-Mails an Benutzer gesendet, die sich mit ihren Social-Media-Konten angemeldet haben. Sie sollten nach verdächtigen E-Mails und potenziellen Phishing-Angriffen Ausschau halten.
Noch wichtiger ist, dass Freepik Maßnahmen ergreift, um sicherzustellen, dass die Hacker von nun an nicht mehr so leicht einbrechen können. Hoffentlich funktionieren sie.
