E-postmeddelanden och lösenord för miljontals Flaticon- och Freepik-användare har exponerats
Du kan lära dig mycket om ett företags inställning till säkerhet i kölvattnet av ett dataintrång. Du kan se hur det hanterade det tidigare, hur det hanterar det för tillfället och hur långt i framtiden det kastar blicken. Tyvärr bryts företag praktiskt taget varje dag, och vi har många exempel som hjälper oss att jämföra och kontrastera olika reaktioner från olika organisationer. Freepik, företaget bakom Freepik och Flaticon, är den senaste onlinetjänsten för att avslöja en cybersäkerhetshändelse, och vi ska nu se vilken typ av slutsatser vi kan dra av händelsen.
Table of Contents
Hackare stjäl information om 8,3 miljoner användare från Freepik
Tillkännagivandet kom på lördag, och det har redan e-postats till alla 8,3 miljoner berörda användare. Enligt det bröt hackare Flaticon-webbplatsen och fick sina händer i en databas som innehåller poster om de första 8,3 miljoner konton som registrerats på Flaticon.com och Freepik.com. 4,5 miljoner av posterna innehöll bara e-postadresser eftersom kontougarna hade använt sina Facebook-, Twitter- eller Google-profiler för att logga in. I de återstående 3,77 miljoner posterna hittade hackarna också hash-lösenord. Två hundra tjugonio tusen av de drabbade lösenorden sköljdes och saltades med MD5, och resten skyddades av bcrypt.
Freepik gjorde några misstag tidigare
Det är nu uppenbart att när du skapar ett konto på en av Freepiks webbplatser skapar du automatiskt ett konto också på det andra, men när du kolla in registreringsformuläret ser du att detta inte görs tydligt klart, vilket är ett misstag. Tyvärr är det inte den enda.
Av slutsatsen kan vi dra slutsatsen att Freepik från början hasade användarnas lösenord med MD5, en algoritm som är trivialt lätt att knäcka i dag. När plattformernas popularitet ökade uppenbarligen visade företaget att det måste förbättra sin säkerhet och bytte till bcrypt. För detta förtjänar det en klapp på ryggen. Freepik tänkte emellertid inte på att skydda ägarna till de första 229 tusen kontona, och detta är inte bra.
Det är inte heller det faktum att hackarna bröt sig in med en SQL-injektion. Dessa attacker anses vara ganska gamla nu, och att skydda din webbplats mot dem är egentligen inte så svårt. Faktum är att vissa experter går så långt som att säga att det är helt oacceptabelt att vara sårbar för SQL-injektioner 2020.
När det gäller avslöjandet gjorde Freepik mycket bättre än de många offer för dataöverträdelser som försöker bagatellisera incidenten. Den här gången har vi en tydlig förståelse av vad som hände exakt och vad som påverkas av användarna. Det enda problemet vi kan hitta med Freepiks avslöjande är det faktum att det inte anges när överträdelsen hände exakt.
Freepik kommer förhoppningsvis att försöka göra bättre i framtiden
Skadorna i samband med dataöverträdelser är oundvikliga, men om ett företag verkligen vill rädda sitt ansikte måste det visa användare att det har insett vad som hände och har lärt sig sina lärdomar. Freepik har gjort det ganska bra i det avseendet.
De läckade lösenorden som hashades med MD5 har återställts och är inte längre aktiva. Användarna informerades om det och uppmanas att välja nya, starka lösenord. De vars uppgifter har skyltats med bcrypt uppmärksammas också händelsen, och de uppmanas att ändra sina lösenord ur ett överflöd av försiktighet. Freepik skickade också e-postmeddelanden till de användare som registrerade sig med sina sociala mediekonton. De bör leta efter misstänkta e-postmeddelanden och potentiella phishing-attacker.
Ännu viktigare säger Freepik att den vidtar åtgärder för att se till att hackarna från och med nu inte kommer att kunna bryta in så lätt. Förhoppningsvis kommer de att fungera.
