Violazione dei dati di Freepik: gli hacker hanno rubato 8,3 milioni di record tramite SQL injection
22 Agosto 2020 - Tempo di lettura: 7 minuti
Freepik afferma che gli hacker sono stati in grado di rubare e-mail e hash delle password per 8,3 milioni di utenti Freepik e Flaticon in un attacco SQL injection contro il sito Web Flaticon dell'azienda.
Freepik è la società dietro Freepik (uno dei più grandi siti di risorse grafiche online al mondo) e Flaticon (una piattaforma di database di icone) per un totale di 18 milioni di utenti unici mensili, 50 milioni di visualizzazioni mensili e 100 milioni di download mensili.
Gli hacker dietro la violazione della sicurezza di Freepik sono stati in grado di rubare le e-mail e gli hash delle password degli utenti 8,3 milioni più vecchi, ove disponibili.
"Per chiarire, l'hash della password non è la password e non può essere utilizzato per accedere al tuo account", ha aggiunto Freepik.
229K password MD5 reimpostate dopo la violazione
"Di questi 8,3 milioni di utenti, 4,5 milioni non avevano password con hash perché utilizzavano esclusivamente accessi federati (con Google, Facebook e / o Twitter) e gli unici dati che l'aggressore otteneva da questi utenti sono stati il loro indirizzo email", ha aggiunto la società.
3,55 milioni di utenti hanno avuto i loro indirizzi e-mail e gli hash bcrypt delle password raccolti ed esfiltrati dagli aggressori, mentre per circa 229.000 utenti gli hacker hanno ottenuto hash delle password salate MD5.
Poiché le password con hash utilizzando MD5 salato sono facili da decifrare, Freepik ripristina gli account di tutti i 229.000 utenti e li invia tramite e-mail per modificare le password il prima possibile.
Per i 3,55 milioni di utenti con password sottoposte ad hashing utilizzando bcrypt, Freepik non ha preso altre misure oltre a notificare loro tramite e-mail di aggiornare le proprie credenziali.
Freepik ora utilizza bcrypt per eseguire l'hash di tutte le password degli utenti
"Coloro che avevano una password sottoposta ad hashing con MD5 hanno ottenuto la cancellazione della password e hanno ricevuto un'e-mail che li invitava a scegliere una nuova password e a cambiare la password se era condivisa con qualsiasi altro sito (una pratica che è fortemente sconsigliata)" ha spiegato Freepik.
"Gli utenti a cui è stato eseguito l'hashing della password con bcrypt hanno ricevuto un'e-mail che suggerisce loro di cambiare la password, soprattutto se si trattava di una password facile da indovinare. Gli utenti a cui era stata trapelata solo la posta elettronica sono stati avvisati, ma non è richiesta alcuna azione speciale da parte loro."
Freepik afferma che poiché la violazione dei dati utilizza bcrypt per hash tutte le password degli utenti e ha assunto esperti di sicurezza esterni per eseguire un controllo completo delle misure di sicurezza interne ed esterne.
Se desideri verificare se le tue credenziali sono state compromesse in una violazione dei dati, puoi utilizzare Have I Been Pwned, un enorme database di account alimentato da centinaia di violazioni di siti web.
