E-mails e senhas de milhões de usuários Flaticon e Freepik foram expostos

Freepik Data Breach

Você pode aprender muito sobre a atitude de uma empresa em relação à segurança após uma violação de dados. Você pode ver como ele lidou com isso no passado, como está lidando com isso no momento e quão longe no futuro ele lança seu olhar. Infelizmente, as empresas sofrem violações praticamente todos os dias, e temos muitos exemplos que nos ajudam a comparar e contrastar as diferentes reações de diferentes organizações. Freepik, a empresa por trás do Freepik e Flaticon, é o mais recente serviço online para divulgar um incidente de segurança cibernética, e agora veremos que tipo de conclusões podemos tirar do evento.

Hackers roubam informações de cerca de 8,3 milhões de usuários do Freepik

O anúncio foi feito no sábado e já foi enviado por e-mail para todos os 8,3 milhões de usuários afetados. De acordo com ele, os hackers violaram o site Flaticon e puseram as mãos em um banco de dados contendo registros sobre as primeiras 8,3 milhões de contas registradas no Flaticon.com e Freepik.com. 4,5 milhões dos registros continham apenas endereços de e-mail porque os proprietários da conta usaram seus perfis do Facebook, Twitter ou Google para fazer login. Nos 3,77 milhões de registros restantes, os hackers também encontraram hashes de senha. Duzentos e vinte e nove mil das senhas afetadas foram hash e salgadas com MD5, e o restante foi protegido por bcrypt.

Freepik cometeu alguns erros no passado

Agora é óbvio que quando você cria uma conta em um dos sites do Freepik, você automaticamente cria uma conta no outro, mas ao verificar os formulários de registro, você verá que isso não está muito claro, o que é um erro. Infelizmente, não é o único.

Podemos deduzir da afirmação que, no início, Freepik estava fazendo hash das senhas dos usuários com MD5, um algoritmo que é trivialmente fácil de quebrar nos dias de hoje. Aparentemente, conforme a popularidade das plataformas cresceu, a empresa percebeu que precisava melhorar sua segurança e mudou para o bcrypt. Por isso, ele merece um tapinha nas costas. Freepik não pensou em proteger os proprietários das primeiras 229 mil contas, no entanto, e isso não é uma coisa boa.

Nem é o fato de que os hackers invadiram usando uma injeção de SQL. Esses ataques são considerados bastante antigos agora, e proteger seu site contra eles não é realmente tão difícil. Na verdade, alguns especialistas chegam a dizer que ser vulnerável a injeções de SQL em 2020 é completamente inaceitável.

Em termos de divulgação, Freepik se saiu muito melhor do que as muitas vítimas de violação de dados que tentam minimizar o incidente. Desta vez, temos uma compreensão clara do que aconteceu exatamente e o que os usuários afetados precisam fazer. O único problema que podemos encontrar com a divulgação de Freepik é o fato de que ela não declarou quando a violação aconteceu exatamente.

Esperançosamente Freepik tentará fazer melhor no futuro

Os danos associados às violações de dados são inevitáveis, mas se uma empresa realmente deseja salvar sua face, ela precisa mostrar aos usuários que percebeu o que aconteceu e aprendeu as lições. Freepik se saiu muito bem nesse aspecto.

As senhas vazadas com hash com MD5 foram redefinidas e não estão mais ativas. Os usuários foram informados sobre isso e solicitados a escolher senhas novas e fortes. Aqueles cujas credenciais foram criptografadas com bcrypt também ficam cientes do incidente e são aconselhados a alterar suas senhas por precaução. Freepik também enviou e-mails para os usuários que se inscreveram com suas contas de mídia social. Eles devem estar atentos a e-mails suspeitos e possíveis ataques de phishing.

Mais importante, Freepik diz que está adotando medidas para garantir que, de agora em diante, os hackers não consigam invadir tão facilmente. Esperançosamente, eles funcionarão.

August 25, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.