Το Freepik, ένα website που παρέχει πρόσβαση σε υψηλής ποιότητας φωτογραφίες και γραφικά, αποκάλυψε μια σημαντική παραβίαση δεδομένων.
Η εταιρεία το ανακοίνωσε επίσημα όταν κάποιοι χρήστες άρχισαν να γκρινιάζουν στα social media για τη λήψη ειδοποιήσεων παραβίασης στα εισερχόμενά τους.
Η εταιρεία αποκάλυψε επίσημα την παραβίαση δεδομένων χθες, επιβεβαιώνοντας την αυθεντικότητα των emails που έλαβαν οι εγγεγραμμένοι χρήστες τις τελευταίες μέρες.
Οι hackers χρησιμοποίησαν SQL για να αποκτήσουν πρόσβαση στο σύστημα της Freepik
Σύμφωνα με την επίσημη δήλωση της εταιρείας, η παραβίαση δεδομένων έλαβε χώρα όταν οι hackers χρησιμοποίησαν μια SQL injection ευπάθεια για να αποκτήσουν πρόσβαση σε μία από τις βάσεις δεδομένων που αποθηκεύονται δεδομένα χρηστών.
Η Freepik είπε ότι οι επιτιθέμενοι έλαβαν ονόματα χρήστη και κωδικούς πρόσβασης εκατομμυρίων χρηστών (πιο παλιών), που είναι εγγεγραμμένοι στα websites Freepik και Flaticon.
Η Freepik δεν είπε πότε έλαβε χώρα η παραβίαση δεδομένων ούτε πότε την ανακάλυψε. Ωστόσο, η εταιρεία αναφέρει ότι ενημέρωσε τις αρχές μόλις έμαθε για το περιστατικό και άρχισε να ερευνά την υπόθεση.
Εκατομμύρια κωδικοί πρόσβασης έχουν κλαπεί
Η Freepik είπε ότι δεν είχαν όλοι οι χρήστες κωδικούς που συνδέονταν με τους λογαριασμούς τους και οι hackers πήραν μόνο τα emails μερικών.
Η εταιρεία υπολογίζει ότι αυτοί οι χρήστες ήταν 4,5 εκατομμύρια και χρησιμοποιούσαν συνδέσεις Google, Facebook ή Twitter για να συνδεθούν στους λογαριασμούς τους.
“Για τους υπόλοιπους 3,77 εκατομμύρια χρήστες, οι επιτιθέμενοι έλαβαν τη διεύθυνση email και ένα hash του κωδικού πρόσβασης”, πρόσθεσε η εταιρεία. “Για τα 3,55 εκατομμύρια αυτών των χρηστών, η μέθοδος του hash είναι bcrypt και των υπόλοιπων MD5. Έκτοτε, έχουμε αναβαθμίσει το hash όλων των χρηστών σε bcrypt”.
Διαδικασία ειδοποίησης χρηστών
Η Freepik είπε ότι βρίσκεται τώρα στη διαδικασία ειδοποίησης όλων των χρηστών που έχουν επηρεαστεί. Η εταιρεία στέλνει emails στους χρήστες του Freepik και του Flaticon, ανάλογα με την υπηρεσία στην οποία είχαν εγγραφεί οι χρήστες. Παρακάτω είναι μερικά από αυτά τα μηνύματα, που έλαβαν οι χρήστες.
“Τα hashed password με salted MD5 ακυρώθηκαν και οι χρήστες έλαβαν emails για να επιλέξουν έναν νέο κωδικό πρόσβασης και να αλλάξουν τον κωδικό εάν το χρησιμοποιούσαν και σε οποιοδήποτε άλλο site“, είπε η Freepik. “Οι χρήστες που είχαν το password τους hashed με bcrypt έλαβαν ένα email που τους πρότεινε να αλλάξουν τον κωδικό πρόσβασής τους. Οι χρήστες των οποίων είχε διαρρεύσει μόνο το email, ενημερώθηκαν, αλλά δεν απαιτείται ειδική ενέργεια από αυτούς”.
Το Freepik είναι ένα από τα πιο δημοφιλή sites σήμερα (θέση 97 στη λίστα των κορυφαίων 100 sites της Alexa). Το Flaticon βρίσκεται στη θέση 668.
Όταν η EQT απέκτησε την εταιρεία Freepik στα τέλη Μαΐου του τρέχοντος έτους, η εταιρεία ισχυρίστηκε ότι η υπηρεσία Freepik έχει πάνω από 20 εκατομμύρια εγγεγραμμένους χρήστες.
Οι χρήστες που είναι εγγεγραμμένοι στο Slidesgo, ένα άλλο site της εταιρείας Freepik, δεν φαίνεται να έχουν επηρεαστεί.