WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
8,3 triệu người dùng Freepik bị rò rỉ dữ liệu
Công ty Freepik, tổ chức đứng sau các trang web Freepik và Flaticon, vừa tiết lộ một vụ vi phạm dữ liệu ảnh hưởng đến khoảng 8,3 triệu người dùng của mình.
Freepik là một công cụ tìm kiếm cung cấp cho người dùng quyền truy cập các tài nguyên đồ họa chất lượng cao, bao gồm hình ảnh, vector, hình minh họa và những thứ tương tự. Trên Flaticon, người dùng có thể tìm thấy hơn 3 triệu biểu tượng vector ở nhiều định dạng tệp khác nhau.
Freepik giải thích, những kẻ tấn công đã khai thác lỗ hổng SQL injection trong Flaticon, cho phép chúng truy cập thông tin người dùng.
“Theo phân tích của chúng tôi, kẻ tấn công đã trích xuất email và băm mật khẩu, nếu có, của 8,3 triệu người dùng cũ. Băm mật khẩu không phải là mật khẩu và không thể được sử dụng để đăng nhập vào tài khoản của người dùng”, công ty thông báo.
Công ty tiết lộ rằng khoảng 4,5 triệu người dùng không bị rò rỉ băm mật khẩu vì thông tin đăng nhập liên kết (với Google, Facebook và/hoặc Twitter) đã được sử dụng. Đối với những người dùng này, chỉ địa chỉ email bị rò rỉ.
Với 3,77 triệu người dùng, cả địa chỉ email và băm mật khẩu đều bị lộ. 3,55 triệu mật khẩu trong số này đã được băm bằng bcrypt, trong khi 229.000 mật còn lại được băm bằng salted MD5.
Freepik cho biết đã cập nhật hàm băm cho tất cả mật khẩu người dùng thành bcrypt và những người có mật khẩu được băm với salted MD5 đã được thông báo để đặt lại.
Công ty này cũng bổ sung rằng thường xuyên quét mật khẩu và email đã bị rò rỉ trên Internet để xác định những email và mật khẩu trùng khớp với thông tin đăng nhập của người dùng Freepik và Flaticon, đồng thời vô hiệu hóa bất kỳ mật khẩu nào được phát hiện đã bị rò rỉ và thông báo cho những người dùng bị ảnh hưởng.
Freepik là một công cụ tìm kiếm cung cấp cho người dùng quyền truy cập các tài nguyên đồ họa chất lượng cao, bao gồm hình ảnh, vector, hình minh họa và những thứ tương tự. Trên Flaticon, người dùng có thể tìm thấy hơn 3 triệu biểu tượng vector ở nhiều định dạng tệp khác nhau.
Freepik giải thích, những kẻ tấn công đã khai thác lỗ hổng SQL injection trong Flaticon, cho phép chúng truy cập thông tin người dùng.
“Theo phân tích của chúng tôi, kẻ tấn công đã trích xuất email và băm mật khẩu, nếu có, của 8,3 triệu người dùng cũ. Băm mật khẩu không phải là mật khẩu và không thể được sử dụng để đăng nhập vào tài khoản của người dùng”, công ty thông báo.
Công ty tiết lộ rằng khoảng 4,5 triệu người dùng không bị rò rỉ băm mật khẩu vì thông tin đăng nhập liên kết (với Google, Facebook và/hoặc Twitter) đã được sử dụng. Đối với những người dùng này, chỉ địa chỉ email bị rò rỉ.
Với 3,77 triệu người dùng, cả địa chỉ email và băm mật khẩu đều bị lộ. 3,55 triệu mật khẩu trong số này đã được băm bằng bcrypt, trong khi 229.000 mật còn lại được băm bằng salted MD5.
Freepik cho biết đã cập nhật hàm băm cho tất cả mật khẩu người dùng thành bcrypt và những người có mật khẩu được băm với salted MD5 đã được thông báo để đặt lại.
Công ty này cũng bổ sung rằng thường xuyên quét mật khẩu và email đã bị rò rỉ trên Internet để xác định những email và mật khẩu trùng khớp với thông tin đăng nhập của người dùng Freepik và Flaticon, đồng thời vô hiệu hóa bất kỳ mật khẩu nào được phát hiện đã bị rò rỉ và thông báo cho những người dùng bị ảnh hưởng.
Theo Security Week