Milliónyi Flaticon és Freepik felhasználó e-mailt és jelszavakat tettek közzé

Freepik Data Breach

Sokat tanulhat a vállalat biztonsággal kapcsolatos magatartásáról az adatok megsértése nyomán. Láthatja, hogyan kezeli a múltban, hogyan kezeli vele a pillanatot, és milyen messzire néz a jövőbe. Sajnos a cégeket gyakorlatilag minden nap megsértik, és rengeteg példánk van, amelyek segítenek összehasonlítani és összehasonlítani a különböző szervezetek eltérő reakcióit. A Freepik, a Freepik és a Flaticon mögött álló társaság a legújabb online szolgáltatás, amely közzéteszi a kiberbiztonsági eseményt, és most meglátjuk, milyen következtetéseket vonhatunk le az eseményről.

A hackerek információt lopnak a Freepik 8,3 millió felhasználójáról

A bejelentés szombaton érkezett, és már e-mailben elküldték az összes 8,3 millió érintett felhasználónak. Szerint a hackerek megsértették a Flaticon webhelyet, és kezüket kaptak egy adatbázisra, amely nyilvántartást tartalmaz a Flaticon.com és a Freepik.com webhelyen regisztrált első 8,3 millió számláról. A nyilvántartások 4,5 milliója csak e-mail címeket tartalmazott, mivel a fióktulajdonosok a Facebook, a Twitter vagy a Google profilokat használták be a bejelentkezéshez. A fennmaradó 3,77 millió rekordban a hackerek jelszó-hasítókat is találtak. Az érintett jelszavakból 200-at kivágtak és sóztak MD5-mel, a többi pedig bcrypttel védett.

A Freepik hibákat tett a múltban

Most nyilvánvaló, hogy amikor a Freepik egyik webhelyén fiókot hoz létre, akkor automatikusan létrehoz egy fiókot a másik oldalon is, de amikor megnézed a regisztrációs űrlapokat, látni fogod, hogy ezt nem teszik eléggé világossá, ami tévedés. Sajnos nem ez az egyetlen.

Az állításból arra következtethetünk, hogy a Freepik a legelején az MD5-rel hasította a felhasználói jelszavakat, egy algoritmust, amelyet manapság rendkívül könnyű megtörni. Nyilvánvalóan, ahogy a platformok népszerűsége növekedett, a cég rájött, hogy javítania kell a biztonságát, és átváltott a kriptográfiára. Ezért megérdemli a hátsó pat. A Freepik azonban nem gondolt az első 229 ezer számla tulajdonosának védelmére, és ez nem jó dolog.

Az sem az a tény, hogy a hackerek SQL-injekcióval törtek be. Ezeket a támadásokat manapság meglehetősen réginak tekintik, és a webhely védelme tőlük nem igazán olyan nehéz. Valójában néhány szakértő elmondja, hogy az SQL-injekciókkal szembeni kiszolgáltatottság 2020-ban teljesen elfogadhatatlan.

A nyilvánosságra hozatal szempontjából a Freepik sokkal jobban teljesített, mint a sok adatmegsértés áldozata, amely megpróbálja alábecsülni az eseményt. Ezúttal egyértelműen megértjük, mi történt pontosan, és mit kell tennie a felhasználóknak. Az egyetlen probléma, amelyet a Freepik nyilvánosságra hozatalával találhatunk, az a tény, hogy nem jelentette be, hogy mikor történt pontosan a jogsértés.

A Freepik remélhetőleg a jövőben is jobb erőfeszítéseket tesz

Az adatsértésekkel járó kár elkerülhetetlen, de ha egy vállalat valóban meg akarja menteni arcát, meg kell mutatnia a felhasználóknak, hogy rájött, mi történt, és megtanulta a tanulságokat. A Freepik ebben a tekintetben meglehetősen jól jött.

Az MD5-vel kivont kiszivárgott jelszavak alaphelyzetbe álltak, és már nem aktívak. A felhasználókat tájékoztatták erről, és arra ösztönzik őket, hogy válasszanak új, erős jelszavakat. Azokat, akiknek hitelesítő adatait bcrypt-en hasították fel, szintén felhívják a figyelmeztetésre az eseményről, és javasoljuk, hogy a jelszavaikat óvatosan változtassák meg. A Freepik e-maileket küldött azoknak a felhasználóknak is, akik feliratkoztak a közösségi média fiókjukra. Figyelembe kell venniük a gyanús e-maileket és a potenciális adathalász támadásokat.

Ennél is fontosabb, hogy a Freepik elmondja, hogy intézkedéseket hoz annak biztosítására, hogy mostantól a hackerek nem tudnak ilyen könnyen betörni. Remélhetőleg működni fognak.

August 25, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.