Έχουν εκτεθεί μηνύματα ηλεκτρονικού ταχυδρομείου και κωδικοί πρόσβασης εκατομμυρίων χρηστών Flaticon και Freepik
Μπορείτε να μάθετε πολλά για τη στάση μιας εταιρείας έναντι της ασφάλειας μετά από παραβίαση δεδομένων. Μπορείτε να δείτε πώς το χειρίστηκε στο παρελθόν, πώς το αντιμετωπίζει αυτή τη στιγμή και πόσο μακριά στο μέλλον ρίχνει το βλέμμα του. Δυστυχώς, οι εταιρείες παραβιάζονται σχεδόν καθημερινά και έχουμε πολλά παραδείγματα που μας βοηθούν να συγκρίνουμε και να αντιπαραθέτουμε τις διαφορετικές αντιδράσεις από διαφορετικούς οργανισμούς. Η Freepik, η εταιρεία πίσω από τα Freepik και Flaticon, είναι η τελευταία διαδικτυακή υπηρεσία που αποκαλύπτει ένα περιστατικό ασφάλειας στον κυβερνοχώρο και τώρα θα δούμε τι συμπεράσματα μπορούμε να βγάλουμε από την εκδήλωση.
Table of Contents
Οι χάκερς κλέβουν πληροφορίες για περίπου 8,3 εκατομμύρια χρήστες από το Freepik
Η ανακοίνωση ήρθε το Σάββατο και έχει ήδη σταλεί μέσω ηλεκτρονικού ταχυδρομείου σε όλους τους 8,3 εκατομμύρια χρήστες που επηρεάζονται. Σύμφωνα με αυτό, οι χάκερ παραβίασαν τον ιστότοπο Flaticon και πήραν τα χέρια τους σε μια βάση δεδομένων που περιέχει αρχεία σχετικά με τους πρώτους 8,3 εκατομμύρια λογαριασμούς που έχουν καταχωριστεί στο Flaticon.com και στο Freepik.com. 4,5 εκατομμύρια από τις εγγραφές περιείχαν μόνο διευθύνσεις ηλεκτρονικού ταχυδρομείου επειδή οι κάτοχοι λογαριασμών είχαν χρησιμοποιήσει τα προφίλ τους στο Facebook, το Twitter ή το Google για να συνδεθούν. Στα υπόλοιπα 3,77 εκατομμύρια εγγραφές, οι χάκερ βρήκαν επίσης κατακερματισμό κωδικού πρόσβασης. Διακόσια είκοσι εννέα χιλιάδες από τους κωδικούς πρόσβασης που επηρεάστηκαν κατακερματιστούν και αλάτισαν με MD5 και οι υπόλοιποι προστατεύθηκαν από το bcrypt.
Ο Freepik έκανε κάποια λάθη στο παρελθόν
Είναι πλέον προφανές ότι όταν δημιουργείτε έναν λογαριασμό σε έναν από τους ιστότοπους της Freepik, δημιουργείτε αυτόματα έναν λογαριασμό και στον άλλο, αλλά όταν ελέγχετε τα έντυπα εγγραφής, θα δείτε ότι αυτό δεν γίνεται απολύτως σαφές, δηλαδή ένα λάθος. Δυστυχώς, δεν είναι το μόνο.
Μπορούμε να συμπεράνουμε από τη δήλωση ότι στην αρχή, η Freepik κατακερματίζει τους κωδικούς πρόσβασης των χρηστών με το MD5, έναν αλγόριθμο που είναι ασήμαντα εύκολο να σπάσει αυτές τις μέρες. Προφανώς, καθώς η δημοτικότητα των πλατφορμών αυξήθηκε, η εταιρεία συνειδητοποίησε ότι πρέπει να βελτιώσει την ασφάλειά της και άλλαξε σε bcrypt. Γι 'αυτό, αξίζει ένα χτύπημα στο πίσω μέρος. Ωστόσο, η Freepik δεν σκέφτηκε να προστατεύσει τους κατόχους των πρώτων 229 χιλιάδων λογαριασμών, και αυτό δεν είναι καλό.
Ούτε είναι το γεγονός ότι οι χάκερ έσπασαν τη χρήση μιας ένεσης SQL. Αυτές οι επιθέσεις θεωρούνται αρκετά παλιές τώρα και η προστασία του ιστότοπού σας από αυτές δεν είναι πραγματικά τόσο δύσκολη. Στην πραγματικότητα, ορισμένοι εμπειρογνώμονες λένε ότι είναι ευάλωτοι στις ενέσεις SQL το 2020 είναι εντελώς απαράδεκτο.
Όσον αφορά την αποκάλυψη, ο Freepik έκανε πολύ καλύτερα από τα πολλά θύματα παραβίασης δεδομένων που προσπαθούν να υποβαθμίσουν το συμβάν. Αυτή τη φορά, έχουμε μια σαφή κατανόηση του τι συνέβη ακριβώς και τι πρέπει να κάνουν οι επηρεασμένοι χρήστες. Το μόνο πρόβλημα που μπορούμε να βρούμε με την αποκάλυψη του Freepik είναι το γεγονός ότι δεν ανέφερε πότε συνέβη η παράβαση.
Ελπίζουμε ότι η Freepik θα προσπαθήσει να κάνει καλύτερα στο μέλλον
Η ζημιά που σχετίζεται με παραβιάσεις δεδομένων είναι αναπόφευκτη, αλλά εάν μια εταιρεία θέλει πραγματικά να σώσει το πρόσωπό της, πρέπει να δείξει στους χρήστες ότι έχει συνειδητοποιήσει τι συνέβη και ότι έχει μάθει τα μαθήματά της. Το Freepik τα πήγε αρκετά καλά από αυτή την άποψη.
Οι κωδικοί πρόσβασης που διέρρευσαν που είχαν κατακερματιστεί με MD5 έχουν επαναφερθεί και δεν είναι πλέον ενεργοί. Οι χρήστες ενημερώθηκαν σχετικά με αυτό και καλούνται να επιλέξουν νέους, ισχυρούς κωδικούς πρόσβασης. Εκείνοι των οποίων τα διαπιστευτήρια κατακερματιστούν με το bcrypt ενημερώνονται επίσης για το περιστατικό και συνιστάται να αλλάξουν τους κωδικούς πρόσβασής τους με μεγάλη προσοχή. Η Freepik έστειλε επίσης email στους χρήστες που έχουν εγγραφεί στους λογαριασμούς τους στα social media. Θα πρέπει να αναζητούν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και πιθανές επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
Το πιο σημαντικό, ο Freepik λέει ότι εφαρμόζει μέτρα για να διασφαλίσει ότι από τώρα και στο εξής, οι χάκερ δεν θα μπορούν να το κάνουν εύκολα. Ας ελπίσουμε ότι θα λειτουργήσουν.
