image

Privégegevens 8,3 miljoen gebruikers Freepik en Flaticon gestolen

zaterdag 22 augustus 2020, 13:56 door Redactie, 5 reacties

Een aanvaller is erin geslaagd om de privégegevens van 8,3 miljoen gebruikers van Freepik en Flaticon te stelen, zo heeft het bedrijf achter de twee websites bekendgemaakt. Freepik en Flaticon bieden stockfoto's, vectorafbeeldingen en iconen. De aanvaller wist via SQL-injection in Flaticon gebruikersdata uit de database te stelen.

Het gaat om e-mailadressen en gehashte wachtwoorden. Van 4,5 miljoen gebruikers zijn geen wachtwoordhashes gestolen, omdat deze gebruikers via hun Google-, Facebook- of Twitteraccount inlogden. Van deze gebruikers is alleen het e-mailadres buitgemaakt. Van de 3,77 miljoen gebruikers van wie e-mailadres en wachtwoordhash werd gestolen ging het voor 3,55 miljoen gebruikers om een wachtwoord dat via het bcrypt-algoritme is gehasht.

De wachtwoorden van de overige 229.000 gebruikers waren gesalt en via het zwakke MD5-algoritme gehasht. Freepik heeft van deze 229.000 gebruikers het wachtwoord gereset en gebruikers een e-mail gestuurd om een nieuw wachtwoord aan te maken. De 3,77 miljoen gebruikers van wie het wachtwoord via bcrypt was gehasht wordt alleen aangeraden een nieuw wachtwoord in te stellen. Met name als het een eenvoudig te raden wachtwoord was. Gebruikers van wie het e-mailadres is gestolen zijn ingelicht, maar hoeven volgens Freepik geen verdere actie te ondernemen.

Naar aanleiding van het incident heeft Freepik de beveiligingsmaatregelen door een externe partij laten controleren. Vervolgens zijn er niet nader genoemde kortetermijnmaatregelen genomen om de veiligheid te verbeteren en zullen er ook voor de middellange en lange termijn extra maatregelen worden getroffen, aldus het bedrijf.

Bij SQL-injection, een probleem dat al sinds 1998 bekend is, wordt gebruikersinvoer niet goed door een website of webapplicatie gefilterd, waardoor de SQL-opdrachten van de aanvaller worden uitgevoerd. Die kan zo bijvoorbeeld data uit de database van de website stelen.

Reacties (5)
22-08-2020, 15:37 door Anoniem
Goed nieuws voor Troy Hunt, onze heler.
22-08-2020, 18:18 door Anoniem
Daar kan je deze meteen aan vastplakken "235 Million Instagram, TikTok And YouTube User Profiles Exposed In Massive Data Leak" https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/#4d956ea91111
22-08-2020, 19:55 door Anoniem
Door Anoniem: Goed nieuws voor Troy Hunt, onze heler.
In Australië is dit geen heling.
23-08-2020, 01:02 door Hyper
When does the hurting stop?
23-08-2020, 16:34 door Anoniem
Door Anoniem:
Door Anoniem: Goed nieuws voor Troy Hunt, onze heler.
In Australië is dit geen heling.

Maar in elk land waarschijnlijk wel smaad...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.