何百万人ものFlaticonおよびFreepikユーザーの電子メールとパスワードが公開されました
データ漏えい後のセキュリティに対する企業の態度について多くを学ぶことができます。それが過去にどのようにそれを処理したか、それが現在どのようにそれを処理しているか、そしてそれがどれだけ遠くでその視線を注ぐかを見ることができます。悲しいことに、企業は事実上毎日侵害されており、さまざまな組織からのさまざまな反応を比較および対比するのに役立つ多くの例があります。 FreepikとFlaticonの背後にある会社であるFreepikは、サイバーセキュリティインシデントを開示する最新のオンラインサービスであり、イベントからどのような結論を導き出すことができるかがわかります。
Table of Contents
ハッカーはFreepikから約830万人のユーザーの情報を盗みます
発表は土曜日に行われ、影響を受けた830万人のユーザー全員に既にメールで送信されています。それによれば、ハッカーはFlaticonのWebサイトを突破し、Flaticon.comとFreepik.comに登録された最初の830万件のアカウントに関する記録を含むデータベースを手に入れました。アカウント所有者がFacebook、Twitter、またはGoogleのプロファイルを使用してサインインしたため、450万件のレコードにはメールアドレスのみが含まれていました。残りの377万件のレコードでは、ハッカーもパスワードハッシュを発見しました。影響を受けたパスワードの22.9万はハッシュされ、MD5でソルトされ、残りはbcryptで保護されました。
Freepikは過去にいくつかの間違いをしました
Freepikのウェブサイトの1つでアカウントを作成すると、もう一方のサイトでも自動的にアカウントが作成されることは明らかですが、登録フォームを確認すると、これが十分に明確にされていないことがわかります。間違い。悲しいことに、それだけではありません。
この文から、Freepikは最初の頃、MD5を使用してユーザーのパスワードをハッシュしていたと推測できます。MD5は、最近簡単に解読できるアルゴリズムです。どうやら、プラットフォームの人気が高まるにつれ、同社はセキュリティを強化する必要があることに気付き、bcryptに切り替えました。このため、それは背中にパットに値する。 Freepikは最初の229千のアカウントの所有者を保護することを考えていませんでした、そしてこれは良いことではありません。
また、ハッカーがSQLインジェクションを使用して侵入したという事実もありません。これらの攻撃は今ではかなり古いと考えられており、ウェブサイトを攻撃から保護することはそれほど難しいことではありません。実際、一部の専門家は、2020年のSQLインジェクションに対して脆弱であることはまったく受け入れられないと言っています。
開示に関しては、Freepikはインシデントを軽視しようとする多くのデータ侵害被害者よりもはるかに優れていました。今回は、正確に何が起こったか、影響を受けたユーザーが何をする必要があるかを明確に理解しています。 Freepikの開示で私たちが見つけることができる唯一の問題は、侵害が正確にいつ起こったのかを明言しなかったという事実です。
Freepikは将来うまくいけばうまくいくでしょう
データ侵害に伴う被害は避けられませんが、企業が本当に顔を残したいのであれば、何が起こったかを理解し、その教訓を学んだことをユーザーに示す必要があります。 Freepikはその点でかなりうまくやっています。
MD5でハッシュされたリークされたパスワードはリセットされ、アクティブではなくなりました。ユーザーはそれについて通知を受けており、新しい強力なパスワードを選択するように求められています。資格情報がbcryptでハッシュされたユーザーにもインシデントが通知されるため、慎重にパスワードを変更することをお勧めします。 Freepikは、ソーシャルメディアアカウントでサインアップしたユーザーにもメールを送信しました。疑わしい電子メールや潜在的なフィッシング攻撃を警戒する必要があります。
さらに重要なことに、Freepikは、これからハッカーが簡単に侵入できないように対策を講じていると述べています。うまくいけば、それらは動作します。