Как стало известно из официального блога компании Freepik, сайт Flaticon был подвергнут атаке с помощью SQL-инъекции, которая позволила злоумышленнику получить информацию о некоторых пользователях из базы данных микростока. Атака затронула пользователей не только Flaticon, но и Freepik.
В ходе экспертизы было выяснено, что злоумышленник получил доступ к хэшам паролей самых старых 8,3 млн. пользователей. Хэш пароля не является самим паролем и с его помощью нельзя войти в учетную запись. Но если у вас простой пароль, то с помощью специальных программ можно сделать расшифровку хэш и получить сам пароль.
Из 8,3 млн. пользователей у 4,5 млн. не было хешированного пароля, поскольку они использовали учетные записи социальных сетей Google, Facebook и Twitter для доступа к аккаунту. Единственные данные, которые получил злоумышленник были адреса электронной почты этих пользователей.
Для остальных 3,77 млн пользователей злоумышленником были получены связки адреса электронной почты и хэш пароля. У 3,55 млн из этих пользователей пароль был хэширован с помощью метода bcrypt, у остальных 229 тыс. пользователей использовался метод MD5. Компания в срочном режиме обновила хэш паролей тех пользователей у кого были пароли с хешированием MD5 до bcrypt.
У пользователей, пароль которых был хэширован с помощью соленого MD5, пароль быль скинут и Фрипик разослал всем электронное письмо, с настоятельным призывом установить новый пароль, который не должен повторяться на других сайтах. Пользователи, чей пароль хешируется с помощью bcrypt, получили электронное письмо с предложением изменить пароль, особенно если пароль легко угадать. Пользователи, у которых произошла утечка только электронной почты, были просто уведомлены. От них не требуется никаких специальных действий.
В интернете есть специальный сервис: Have I Been Pwned: https://haveibeenpwned.com/ с помощью которого можно узнать, были ли скомпрометированы ваш адрес электронной почты и / или пароль при какой-либо утечке.
Freepik регулярно проверяет электронные письма и пароли, просочившиеся в сеть, и если обнаруживают, что они совпадают с учетными данными любых пользователей Freepik / Flaticon, сбрасывают пароль и уведомляют владельца о том, что ему необходимо обновить свои учетные данные.
Компания приносит извинения за этот инцидент.
Да мы регулярно слышим об утечках на разных площадках, похоже, что эта проблема не решаема. Потому, главное, чтоб владельцы как можно быстрее реагировали на эти факты и принимали меры по ликвидации уязвимых мест.
Проблема не только во владельцах. Иногда сами пользователи создают такие пароли, которые взламываются и подбираются на раз два.