Le email e le password di milioni di utenti Flaticon e Freepik sono state smascherate
Puoi imparare molto sull'atteggiamento di un'azienda nei confronti della sicurezza a seguito di una violazione dei dati. Puoi vedere come lo ha gestito in passato, come lo sta affrontando in questo momento e quanto lontano nel futuro getta il suo sguardo. Purtroppo, le aziende subiscono violazioni praticamente ogni giorno e abbiamo molti esempi che ci aiutano a confrontare e contrastare le diverse reazioni di diverse organizzazioni. Freepik, la società dietro Freepik e Flaticon, è l'ultimo servizio online a rivelare un incidente di sicurezza informatica e ora vedremo che tipo di conclusioni possiamo trarre dall'evento.
Table of Contents
Gli hacker rubano informazioni su 8,3 milioni di utenti da Freepik
L'annuncio è arrivato sabato ed è già stato inviato via email a tutti gli 8,3 milioni di utenti interessati. Secondo esso, gli hacker hanno violato il sito Web di Flaticon e hanno messo le mani su un database contenente i record dei primi 8,3 milioni di account registrati su Flaticon.com e Freepik.com. 4,5 milioni di record contenevano solo indirizzi e-mail perché i proprietari dell'account avevano utilizzato i loro profili Facebook, Twitter o Google per accedere. Nei restanti 3,77 milioni di record, gli hacker hanno anche trovato hash delle password. Duecentoventinovemila delle password interessate sono state sottoposte ad hashing e salate con MD5, e il resto è stato protetto da bcrypt.
Freepik ha commesso alcuni errori in passato
È ora ovvio che quando crei un account su uno dei siti Web di Freepik, crei automaticamente un account anche sull'altro, ma quando controlli i moduli di registrazione, vedrai che questo non è reso abbondantemente chiaro, il che è un errore. Purtroppo, non è l'unico.
Possiamo dedurre dall'affermazione che all'inizio Freepik stava eseguendo l'hashing delle password degli utenti con MD5, un algoritmo che è banalmente facile da decifrare in questi giorni. Apparentemente, con la crescita della popolarità delle piattaforme, la società si è resa conto che doveva migliorare la propria sicurezza ed è passata a bcrypt. Per questo, merita una pacca sulla spalla. Tuttavia, Freepik non ha pensato di proteggere i proprietari dei primi 229mila account e questo non è un bene.
Né lo è il fatto che gli hacker abbiano fatto irruzione usando un'iniezione SQL. Questi attacchi sono considerati piuttosto vecchi ora e proteggere il tuo sito web da loro non è poi così difficile. In effetti, alcuni esperti arrivano addirittura a dire che essere vulnerabili alle iniezioni di SQL nel 2020 è del tutto inaccettabile.
In termini di divulgazione, Freepik ha fatto molto meglio delle molte vittime di violazioni dei dati che cercano di minimizzare l'incidente. Questa volta abbiamo una chiara comprensione di cosa è successo esattamente e cosa devono fare gli utenti interessati. L'unico problema che possiamo trovare con la divulgazione di Freepik è il fatto che non ha indicato quando è avvenuta esattamente la violazione.
Si spera che Freepik cercherà di fare di meglio in futuro
Il danno associato alle violazioni dei dati è inevitabile, ma se un'azienda vuole davvero salvarsi la faccia, deve mostrare agli utenti che ha capito cosa è successo e ha imparato la lezione. Freepik ha fatto piuttosto bene sotto questo aspetto.
Le password trapelate che erano state sottoposte ad hashing con MD5 sono state reimpostate e non sono più attive. Gli utenti ne sono stati informati e sono invitati a scegliere password nuove e sicure. Anche coloro le cui credenziali sono state sottoposte ad hashing con bcrypt vengono informati dell'incidente e si consiglia loro di cambiare le loro password per molta cautela. Freepik ha anche inviato e-mail agli utenti che si sono registrati con i loro account di social media. Dovrebbero essere alla ricerca di e-mail sospette e potenziali attacchi di phishing.
Ancora più importante, Freepik afferma che sta mettendo in atto misure per garantire che d'ora in poi gli hacker non saranno in grado di introdursi facilmente. Si spera che funzioneranno.
