Как стало известно из официального блога компании Freepik, сайт Flaticon был подвергнут атаке с помощью SQL-инъекции, которая позволила злоумышленнику получить информацию о некоторых пользователях из базы данных микростока. Атака затронула пользователей не только Flaticon, но и Freepik.
В ходе экспертизы было выяснено, что злоумышленник получил доступ к хэшам паролей самых старых 8,3 млн. пользователей. Хэш пароля не является самим паролем и с его помощью нельзя войти в учетную запись. Но если у вас простой пароль, то с помощью специальных программ можно сделать расшифровку хэш и получить сам пароль.
Из 8,3 млн. пользователей у 4,5 млн. не было хешированного пароля, поскольку они использовали учетные записи социальных сетей Google, Facebook и Twitter для доступа к аккаунту. Единственные данные, которые получил злоумышленник были адреса электронной почты этих пользователей.
Для остальных 3,77 млн пользователей злоумышленником были получены связки адреса электронной почты и хэш пароля. У 3,55 млн из этих пользователей пароль был хэширован с помощью метода bcrypt, у остальных 229 тыс. пользователей использовался метод MD5. Компания в срочном режиме обновила хэш паролей тех пользователей у кого были пароли с хешированием MD5 до bcrypt.
У пользователей, пароль которых был хэширован с помощью соленого MD5, пароль быль скинут и Фрипик разослал всем электронное письмо, с настоятельным призывом установить новый пароль, который не должен повторяться на других сайтах. Пользователи, чей пароль хешируется с помощью bcrypt, получили электронное письмо с предложением изменить пароль, особенно если пароль легко угадать. Пользователи, у которых произошла утечка только электронной почты, были просто уведомлены. От них не требуется никаких специальных действий.
В интернете есть специальный сервис: Have I Been Pwned: https://haveibeenpwned.com/ с помощью которого можно узнать, были ли скомпрометированы ваш адрес электронной почты и / или пароль при какой-либо утечке.
Freepik регулярно проверяет электронные письма и пароли, просочившиеся в сеть, и если обнаруживают, что они совпадают с учетными данными любых пользователей Freepik / Flaticon, сбрасывают пароль и уведомляют владельца о том, что ему необходимо обновить свои учетные данные.
Компания приносит извинения за этот инцидент.
П.С. Не забывайте подписываться на наши соц сети и телеграмм канал. Если у вас остаются какие-либо вопросы, то задавайте их в комментариях к этой статье. Я постараюсь оперативно ответить на каждый вопрос.
Мы в соц медиа: Инстаграм | ВК | Фейсбук | Твиттер | Телеграм Канал | Телеграм Чат для Микростокеров
Трендовые темы для микростоковых авторов на: Patreon и VK Donate
Обсудить эту новость можно на нашем форуме о фотобанках и микростоках.П.П.С. Чтобы оставаться в курсе происходящих событий и новостей подписывайтесь на еженедельную почтовую рассылку от www.supermicrostock.ru. В каждом выпуске, помимо прочего, вы будете получать 3 горячие рекомендаций на самые перспективные темы для векторных иллюстраторов. Рассылка выходит раз в неделю по воскресеньям.
Да мы регулярно слышим об утечках на разных площадках, похоже, что эта проблема не решаема. Потому, главное, чтоб владельцы как можно быстрее реагировали на эти факты и принимали меры по ликвидации уязвимых мест.
Проблема не только во владельцах. Иногда сами пользователи создают такие пароли, которые взламываются и подбираются на раз два.