Как стало известно из официального блога компании Freepik, сайт Flaticon был подвергнут атаке с помощью SQL-инъекции, которая позволила злоумышленнику получить информацию о некоторых пользователях из базы данных микростока. Атака затронула пользователей не только Flaticon, но и Freepik.
В ходе экспертизы было выяснено, что злоумышленник получил доступ к хэшам паролей самых старых 8,3 млн. пользователей. Хэш пароля не является самим паролем и с его помощью нельзя войти в учетную запись. Но если у вас простой пароль, то с помощью специальных программ можно сделать расшифровку хэш и получить сам пароль.
Из 8,3 млн. пользователей у 4,5 млн. не было хешированного пароля, поскольку они использовали учетные записи социальных сетей Google, Facebook и Twitter для доступа к аккаунту. Единственные данные, которые получил злоумышленник были адреса электронной почты этих пользователей.
Для остальных 3,77 млн пользователей злоумышленником были получены связки адреса электронной почты и хэш пароля. У 3,55 млн из этих пользователей пароль был хэширован с помощью метода bcrypt, у остальных 229 тыс. пользователей использовался метод MD5. Компания в срочном режиме обновила хэш паролей тех пользователей у кого были пароли с хешированием MD5 до bcrypt.
У пользователей, пароль которых был хэширован с помощью соленого MD5, пароль быль скинут и Фрипик разослал всем электронное письмо, с настоятельным призывом установить новый пароль, который не должен повторяться на других сайтах. Пользователи, чей пароль хешируется с помощью bcrypt, получили электронное письмо с предложением изменить пароль, особенно если пароль легко угадать. Пользователи, у которых произошла утечка только электронной почты, были просто уведомлены. От них не требуется никаких специальных действий.
В интернете есть специальный сервис: Have I Been Pwned: https://haveibeenpwned.com/ с помощью которого можно узнать, были ли скомпрометированы ваш адрес электронной почты и / или пароль при какой-либо утечке.
— Читать дальше
