Les courriels et les mots de passe de millions d'utilisateurs de Flaticon et Freepik ont été exposés

Freepik Data Breach

Vous pouvez en apprendre beaucoup sur l'attitude d'une entreprise envers la sécurité à la suite d'une violation de données. Vous pouvez voir comment il l'a géré dans le passé, comment il le gère actuellement et jusqu'où il jette son regard dans le futur. Malheureusement, les entreprises sont violées pratiquement tous les jours et nous avons de nombreux exemples qui nous aident à comparer et à contraster les différentes réactions des différentes organisations. Freepik, la société derrière Freepik et Flaticon, est le dernier service en ligne à divulguer un incident de cybersécurité, et nous allons maintenant voir quel genre de conclusions nous pouvons tirer de l'événement.

Des pirates volent des informations sur 8,3 millions d'utilisateurs à Freepik

L'annonce a été faite samedi et a déjà été envoyée par courrier électronique aux 8,3 millions d'utilisateurs concernés. Selon lui, des pirates ont violé le site Web de Flaticon et mis la main sur une base de données contenant des enregistrements sur les 8,3 millions de premiers comptes enregistrés sur Flaticon.com et Freepik.com. 4,5 millions d'enregistrements ne contenaient que des adresses e-mail, car les titulaires de compte avaient utilisé leurs profils Facebook, Twitter ou Google pour se connecter. Dans les 3,77 millions d'enregistrements restants, les pirates ont également trouvé des hachages de mots de passe. Deux cent vingt-neuf mille des mots de passe affectés ont été hachés et salés avec MD5, et le reste a été protégé par bcrypt.

Freepik a commis des erreurs dans le passé

Il est maintenant évident que lorsque vous créez un compte sur l'un des sites Web de Freepik, vous créez automatiquement un compte sur l'autre également, mais lorsque vous consultez les formulaires d'inscription, vous verrez que cela n'est pas très clair, ce qui est une erreur. Malheureusement, ce n'est pas le seul.

Nous pouvons déduire de la déclaration qu'au tout début, Freepik hachait les mots de passe des utilisateurs avec MD5, un algorithme qui est trivialement facile à déchiffrer de nos jours. Apparemment, au fur et à mesure que la popularité des plates-formes augmentait, la société a réalisé qu'elle devait améliorer sa sécurité et est passée à bcrypt. Pour cela, il mérite une tape dans le dos. Cependant, Freepik n'a pas pensé à protéger les propriétaires des 229 000 premiers comptes, et ce n'est pas une bonne chose.

Le fait que les pirates aient fait irruption en utilisant une injection SQL n'est pas non plus le cas. Ces attaques sont considérées comme assez anciennes maintenant et protéger votre site Web contre elles n'est pas vraiment si difficile. En fait, certains experts vont jusqu'à dire qu'être vulnérable aux injections SQL en 2020 est totalement inacceptable.

En termes de divulgation, Freepik a fait beaucoup mieux que les nombreuses victimes de violation de données qui tentent de minimiser l'incident. Cette fois, nous comprenons clairement ce qui s'est passé exactement et ce que les utilisateurs concernés doivent faire. Le seul problème que nous pouvons trouver avec la divulgation de Freepik est le fait qu'il n'a pas indiqué quand la violation s'est produite exactement.

Freepik essaiera de faire mieux à l'avenir

Les dommages associés aux violations de données sont inévitables, mais si une entreprise veut vraiment sauver sa face, elle doit montrer aux utilisateurs qu'elle a réalisé ce qui s'est passé et qu'elle a appris ses leçons. Freepik a plutôt bien fait à cet égard.

Les mots de passe divulgués qui ont été hachés avec MD5 ont été réinitialisés et ne sont plus actifs. Les utilisateurs en ont été informés et sont invités à choisir de nouveaux mots de passe forts. Ceux dont les informations d'identification ont été hachées avec bcrypt sont également informés de l'incident et il leur est conseillé de changer leurs mots de passe par prudence. Freepik a également envoyé des courriels aux utilisateurs qui se sont inscrits avec leurs comptes de médias sociaux. Ils doivent être à l'affût des e-mails suspects et des attaques potentielles de phishing.

Plus important encore, Freepik dit qu'il met en place des mesures pour s'assurer qu'à partir de maintenant, les pirates ne pourront pas s'introduire aussi facilement. Espérons qu'ils fonctionneront.

Par Duran
August 25, 2020
News
Français
August 25, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.