E-mails en wachtwoorden van miljoenen Flaticon- en Freepik-gebruikers zijn blootgelegd
U kunt veel leren over de houding van een bedrijf ten aanzien van beveiliging na een datalek. Je kunt zien hoe het ermee omging in het verleden, hoe het er op dit moment mee omgaat en hoe ver in de toekomst het zijn blik werpt. Helaas worden bedrijven vrijwel elke dag geschonden, en we hebben genoeg voorbeelden die ons helpen de verschillende reacties van verschillende organisaties te vergelijken en te contrasteren. Freepik, het bedrijf achter Freepik en Flaticon, is de nieuwste online service die een cyberveiligheidsincident meldt, en we zullen nu zien wat voor soort conclusies we uit het evenement kunnen trekken.
Table of Contents
Hackers stelen informatie over 8,3 miljoen gebruikers van Freepik
De aankondiging kwam zaterdag en is al naar alle 8,3 miljoen getroffen gebruikers gemaild. Volgens het rapport hebben hackers de Flaticon-website geschonden en een database in handen gekregen met gegevens over de eerste 8,3 miljoen geregistreerde accounts op Flaticon.com en Freepik.com. 4,5 miljoen van de records bevatten alleen e-mailadressen omdat de accounteigenaren hun Facebook-, Twitter- of Google-profielen hadden gebruikt om in te loggen. In de resterende 3,77 miljoen records vonden de hackers ook wachtwoord-hashes. Tweehonderdnegenentwintigduizend van de getroffen wachtwoorden werden gehasht en gezouten met MD5, en de rest werd beschermd door bcrypt.
Freepik heeft in het verleden enkele fouten gemaakt
Het is nu duidelijk dat wanneer je een account aanmaakt op een van de websites van Freepik, je automatisch ook een account aanmaakt op de andere website, maar als je de registratieformulieren bekijkt, zul je zien dat dit niet overduidelijk wordt gemaakt, namelijk een fout. Helaas is het niet de enige.
We kunnen afleiden uit de stelling dat Freepik in het begin de wachtwoorden van gebruikers hashing met MD5, een algoritme dat tegenwoordig triviaal gemakkelijk te kraken is. Naarmate de populariteit van de platforms groeide, realiseerde het bedrijf zich blijkbaar dat het zijn beveiliging moest verbeteren en schakelde het over op bcrypt. Hiervoor verdient het een schouderklopje. Freepik dacht er echter niet aan om de eigenaren van de eerste 229 duizend accounts te beschermen, en dat is geen goede zaak.
Evenmin is het feit dat de hackers hebben ingebroken met behulp van een SQL-injectie. Deze aanvallen worden nu als vrij oud beschouwd en het is niet zo moeilijk om uw website ertegen te beschermen. Sommige experts gaan zelfs zo ver dat ze zeggen dat kwetsbaar zijn voor SQL-injecties in 2020 volkomen onaanvaardbaar is.
Qua openbaarmaking deed Freepik het veel beter dan de vele slachtoffers van datalekken die het incident proberen te bagatelliseren. Deze keer hebben we een duidelijk beeld van wat er precies is gebeurd en wat de betrokken gebruikers moeten doen. Het enige probleem dat we kunnen vinden met de bekendmaking van Freepik is het feit dat er niet werd vermeld wanneer de inbreuk precies plaatsvond.
Freepik zal hopelijk proberen het in de toekomst beter te doen
De schade die gepaard gaat met datalekken is onvermijdelijk, maar als een bedrijf echt zijn gezicht wil redden, moet het gebruikers laten zien dat het zich heeft gerealiseerd wat er is gebeurd en zijn lessen heeft geleerd. Freepik heeft het in dat opzicht redelijk goed gedaan.
De gelekte wachtwoorden die zijn gehasht met MD5 zijn gereset en zijn niet langer actief. Gebruikers werden hierover geïnformeerd en worden aangespoord om nieuwe, sterke wachtwoorden te kiezen. Degenen van wie de inloggegevens zijn gehasht met bcrypt, worden ook op de hoogte gebracht van het incident en hen wordt geadviseerd om hun wachtwoorden te wijzigen uit een overvloed aan voorzichtigheid. Freepik stuurde ook e-mails naar de gebruikers die zich hadden aangemeld met hun sociale media-accounts. Ze moeten uitkijken naar verdachte e-mails en mogelijke phishing-aanvallen.
Wat nog belangrijker is, Freepik zegt dat het maatregelen treft om ervoor te zorgen dat de hackers vanaf nu niet zo gemakkelijk kunnen inbreken. Hopelijk werken ze.