E-postmeldinger og passord for millioner av Flaticon- og Freepik-brukere er blitt utsatt
Du kan lære mye om et selskaps holdning til sikkerhet i kjølvannet av et datainnbrudd. Du kan se hvordan det håndterte det i fortiden, hvordan det håndteres det i øyeblikket, og hvor langt i fremtiden det kaster blikket. Dessverre får selskaper brudd praktisk talt hver dag, og vi har mange eksempler som hjelper oss å sammenligne og kontrastere de forskjellige reaksjonene fra forskjellige organisasjoner. Freepik, selskapet bak Freepik og Flaticon, er den siste online tjenesten som avslører en cybersecurity-hendelse, og vi skal nå se hva slags konklusjoner vi kan trekke fra arrangementet.
Table of Contents
Hackere stjeler informasjon om 8,3 millioner brukere fra Freepik
Kunngjøringen kom på lørdag, og den har allerede blitt sendt til alle 8,3 millioner berørte brukere. I følge den brøt hackere Flaticon-nettstedet og fikk hendene i en database som inneholder poster om de første 8,3 millioner kontoene som er registrert på Flaticon.com og Freepik.com. 4,5 millioner av postene inneholdt bare e-postadresser fordi kontoeierne hadde brukt Facebook-, Twitter- eller Google-profilene sine til å logge på. I de resterende 3,77 millioner postene fant hackerne også hash-passord. To hundre og tjueenusen tusen av de berørte passordene ble hashet og saltet med MD5, og resten ble beskyttet av bcrypt.
Freepik gjorde noen feil i fortiden
Det er nå åpenbart at når du oppretter en konto på en av Freepiks nettsteder, oppretter du automatisk en konto også på den andre, men når du sjekker ut registreringsskjemaene, vil du se at dette ikke er gjort tydelig nok, noe som er en feil. Dessverre er det ikke den eneste.
Fra uttalelsen kan vi utlede at Freepik helt i begynnelsen hashing brukeres passord med MD5, en algoritme som det er lett å sprekke i disse dager. Tilsynelatende, etter hvert som plattformenes popularitet vokste, innså selskapet at det må forbedre sikkerheten, og det byttet til bcrypt. For dette fortjener det et klapp på ryggen. Freepik tenkte imidlertid ikke på å beskytte eierne av de første 229 000 kontoene, og dette er ikke en god ting.
Det er heller ikke det faktum at hackerne brøt seg inn ved hjelp av en SQL-injeksjon. Disse angrepene anses som ganske gamle nå, og å beskytte nettstedet ditt mot dem er egentlig ikke så vanskelig. Noen eksperter går faktisk så langt som å si at å være sårbar for SQL-injeksjoner i 2020 er helt uakseptabelt.
Når det gjelder avsløring, gjorde Freepik mye bedre enn de mange ofrene for datainnbrudd som prøver å bagatellisere hendelsen. Denne gangen har vi en klar forståelse av hva som skjedde nøyaktig og hva berørte brukere trenger å gjøre. Det eneste problemet vi kan finne med avsløringen av Freepik, er det faktum at den ikke oppga når bruddet skjedde nøyaktig.
Freepik vil forhåpentligvis prøve å gjøre det bedre i fremtiden
Skadene forbundet med datainnbrudd er uunngåelig, men hvis et selskap virkelig ønsker å redde ansiktet, må det vise brukere at det har innsett hva som skjedde og har lært leksjonene. Freepik har gjort det ganske bra i så måte.
Passordene som er lekket ut med MD5, har blitt tilbakestilt og er ikke lenger aktive. Brukere ble informert om det og oppfordres til å velge nye, sterke passord. De hvis legitimasjon ble hashet med bcrypt blir også gjort oppmerksom på hendelsen, og de blir rådet til å endre passordene sine ut fra en overflod av forsiktighet. Freepik sendte også e-post til brukerne som meldte seg på sine sosiale mediekontoer. De bør være på utkikk etter mistenkelige e-poster og potensielle phishing-angrep.
Enda viktigere, Freepik sier at den setter i verk tiltak for å sikre at hackerne fra nå av ikke vil kunne bryte seg så lett inn. Forhåpentligvis vil de jobbe.
