E-maile i hasła milionów użytkowników Flaticon i Freepik zostały ujawnione
Możesz się wiele dowiedzieć o podejściu firmy do bezpieczeństwa w przypadku naruszenia bezpieczeństwa danych. Możesz zobaczyć, jak sobie z tym radził w przeszłości, jak sobie z tym radzi w tej chwili i jak daleko w przyszłości spogląda. Niestety, firmy są naruszane praktycznie każdego dnia i mamy wiele przykładów, które pomagają nam porównywać i kontrastować różne reakcje różnych organizacji. Freepik, firma stojąca za Freepik i Flaticon, to najnowsza usługa internetowa, która ujawnia incydent związany z cyberbezpieczeństwem, a teraz zobaczymy, jakie wnioski możemy wyciągnąć z tego wydarzenia.
Table of Contents
Hakerzy kradną informacje o 8,3 mln użytkowników z Freepik
Ogłoszenie nadeszło w sobotę i zostało już wysłane e-mailem do wszystkich 8,3 miliona użytkowników, których dotyczy problem. Zgodnie z nim hakerzy włamali się do witryny Flaticon i zdobyli bazę danych zawierającą dane o pierwszych 8,3 miliona kont zarejestrowanych na Flaticon.com i Freepik.com. 4,5 miliona rekordów zawierało tylko adresy e-mail, ponieważ właściciele kont używali swoich profili na Facebooku, Twitterze lub Google do logowania. W pozostałych 3,77 miliona rekordów hakerzy znaleźli również skróty haseł. Dwieście dwadzieścia dziewięć tysięcy haseł, których dotyczy problem, zostało zaszyfrowanych i zasolonych przy użyciu MD5, a pozostałe były chronione przez bcrypt.
Freepik popełnił w przeszłości kilka błędów
Jest teraz oczywiste, że kiedy tworzysz konto na jednej z witryn Freepik, automatycznie tworzysz konto również na drugiej, ale kiedy sprawdzasz formularze rejestracyjne, zobaczysz, że nie jest to zbyt jasne, co jest błąd. Niestety nie jedyny.
Możemy wywnioskować ze stwierdzenia, że na samym początku Freepik haszował hasła użytkowników za pomocą MD5, algorytmu, który w dzisiejszych czasach jest banalnie łatwy do złamania. Najwyraźniej wraz ze wzrostem popularności platform firma zdała sobie sprawę, że musi poprawić swoje bezpieczeństwo i przeszła na bcrypt. Za to zasługuje na poklepanie po plecach. Freepik nie myślał jednak o ochronie właścicieli pierwszych 229 tysięcy kont, a to nie jest dobra rzecz.
Nie jest też fakt, że hakerzy włamali się za pomocą wstrzyknięcia SQL. Te ataki są obecnie uważane za dość stare, a ochrona witryny przed nimi nie jest wcale taka trudna. W rzeczywistości niektórzy eksperci posuwają się nawet do stwierdzenia, że podatność na iniekcje SQL w 2020 roku jest całkowicie nie do przyjęcia.
Pod względem ujawniania danych Freepik poradził sobie znacznie lepiej niż wiele ofiar naruszenia danych, które próbują bagatelizować incydent. Tym razem mamy jasne zrozumienie, co dokładnie się stało i co muszą zrobić użytkownicy, których to dotyczy. Jedynym problemem, jaki możemy znaleźć w przypadku ujawnienia Freepik, jest fakt, że nie podano dokładnie, kiedy doszło do naruszenia.
Miejmy nadzieję, że Freepik będzie się starał działać lepiej w przyszłości
Szkody związane z naruszeniami danych są nieuniknione, ale jeśli firma naprawdę chce zachować swoją twarz, musi pokazać użytkownikom, że zdała sobie sprawę z tego, co się stało i wyciągnęła wnioski. Pod tym względem Freepik radzi sobie całkiem nieźle.
Hasła, które wyciekły, które zostały zaszyfrowane za pomocą MD5, zostały zresetowane i nie są już aktywne. Użytkownicy zostali o tym poinformowani i zachęcani do wybierania nowych, silnych haseł. Osoby, których dane uwierzytelniające zostały zaszyfrowane za pomocą bcrypt, również są świadome incydentu i zaleca się im zmianę haseł ze względu na dużą ostrożność. Freepik wysyłał również e-maile do użytkowników, którzy zarejestrowali się za pomocą swoich kont w mediach społecznościowych. Powinni zwracać uwagę na podejrzane wiadomości e-mail i potencjalne ataki phishingowe.
Co ważniejsze, Freepik twierdzi, że wprowadza środki zapewniające, że od teraz hakerzy nie będą w stanie się tak łatwo włamać. Miejmy nadzieję, że zadziałają.
