Buvo paviešinti milijonai „Flaticon“ ir „Freepik“ vartotojų el. Pašto adresai ir slaptažodžiai
Dėl duomenų pažeidimo galite sužinoti daug apie įmonės požiūrį į saugumą. Galite pamatyti, kaip ji su ja elgėsi praeityje, kaip šiuo metu su ja elgiasi ir kaip ateityje žvelgia į tai. Deja, įmonės pažeidžiamos praktiškai kiekvieną dieną, ir mes turime daugybę pavyzdžių, kurie mums padeda palyginti ir sugretinti skirtingas skirtingų organizacijų reakcijas. „Freepik“, „Freepik“ ir „Flaticon“ įmonė, yra naujausia internetinė paslauga, skirta atskleisti kibernetinio saugumo incidentą, ir dabar pamatysime, kokias išvadas galime padaryti iš įvykio.
Table of Contents
Piratai vagia informaciją apie 8,3 milijono vartotojų iš „Freepik“
Pranešimas pasirodė šeštadienį, jis jau buvo išsiųstas el. Paštu visiems 8,3 mln. Paveiktų vartotojų. Pagal ją įsilaužėliai pažeidė „Flaticon“ svetainę ir susikibę rankomis į duomenų bazę, kurioje yra įrašai apie pirmąsias 8,3 mln. Paskyrų, užregistruotų Flaticon.com ir Freepik.com. 4,5 mln. Įrašų turėjo tik el. Pašto adresus, nes paskyros savininkai prisijungimui naudojo savo „Facebook“, „Twitter“ ar „Google“ profilius. Likusiuose 3,77 mln. Įrašų įsilaužėliai taip pat rado slaptažodžių maišus. Du šimtai dvidešimt devyni tūkstančiai paveiktų slaptažodžių buvo išpjaustyti ir pasūdyti MD5, o likusius apsaugojo bcrypt.
Anksčiau „Freepik“ padarė keletą klaidų
Dabar akivaizdu, kad kurdami sąskaitą vienoje iš „Freepik“ svetainių automatiškai susikuriate sąskaitą ir kitame, tačiau patikrinę registracijos formas pamatysite, kad tai nėra pakankamai aiški, o tai yra klaida. Deja, tai ne vienintelis.
Iš teiginio galime daryti išvadą, kad pačioje pradžioje „Freepik“ naudojo slaptažodžius naudodama MD5 - algoritmą, kurį šiais laikais yra be galo lengva nulaužti. Matyt, augant platformų populiarumui, bendrovė suprato, kad reikia pagerinti savo saugumą, ir perėjo prie „bcrypt“. Už tai verta paglostymo ant nugaros. Tačiau „Freepik“ negalvojo apie pirmųjų 229 tūkst. Sąskaitų savininkų apsaugą, ir tai nėra geras dalykas.
Taip pat faktas, kad įsilaužėliai įsilaužė naudodami SQL injekciją. Šios atakos laikomos gana senomis, ir apsaugoti svetainę nuo jų nėra iš tikrųjų taip sudėtinga. Tiesą sakant, kai kurie ekspertai sako, kad visiškai nepriimtina būti pažeidžiamiems dėl SQL injekcijų 2020 m.
Kalbant apie atskleidimą, „Freepik“ padarė daug geriau nei daugelis duomenų pažeidimų aukų, kurios bando sumenkinti įvykį. Šį kartą mes aiškiai suprantame, kas tiksliai nutiko ir ką paveikė vartotojai. Vienintelė problema, kurią galime rasti atskleisdami „Freepik“, yra tai, kad ji nenurodė, kada tiksliai įvyko pažeidimas.
Tikimės, kad „Freepik“ ateityje padarys geriau
Žala, susijusi su duomenų pažeidimais, yra neišvengiama, tačiau jei įmonė iš tikrųjų nori išsaugoti savo veidą, ji turi parodyti vartotojams, kad ji suprato, kas įvyko, ir išmoko savo pamokas. Šiuo atžvilgiu „Freepik“ sekėsi gana gerai.
Nutekėję slaptažodžiai, kurie buvo maišyti su MD5, buvo iš naujo nustatyti ir nebeveikia. Vartotojai buvo informuoti apie tai ir yra raginami pasirinkti naujus, stiprius slaptažodžius. Tie, kurių įgaliojimai buvo perskaityti naudojant „bcrypt“, taip pat informuojami apie įvykį, ir jiems patariama pakeisti slaptažodžius, atsižvelgiant į daugybę atsargumo priemonių. „Freepik“ taip pat išsiuntė el. Laiškus vartotojams, kurie užsiregistravo savo socialinės žiniasklaidos paskyrose. Jie turėtų ieškoti įtartinų el. Laiškų ir galimų sukčiavimo išpuolių.
Dar svarbiau, „Freepik“ sako, kad imasi priemonių užtikrinti, kad nuo šiol įsilaužėliai negalės taip lengvai įsilaužti. Tikimės, kad jie veiks.
