Freepik Company räumt Datenpanne ein: Mehr als 8 Millionen Nutzer betroffen

 

The Freepik Company hat eine Datenverletzung öffentlich gemacht, von der die Anmeldedaten von mehr als 8 Millionen Freepik- und Flaticon-Nutzern betroffen sind.

Laut einer Pressemitteilung war die Sicherheitsverletzung in Folge einer SQL-Injection bei Flaticon, einer der weltweit größten Datenbanken mit frei anpassbaren Icons, die es Angreifern ermöglichte, Benutzerdaten zu kopieren.

„Wir haben die zuständigen Behörden unverzüglich von der Sicherheitsverletzung in Kenntnis gesetzt, unsere forensische Analyse hat ergeben, dass ein Angreifer die E-Mail-Adresse und, wo verfügbar, den Hash des Passworts der ältesten 8,3 Millionen Benutzer extrahiert hat“, so das Unternehmen.

Genauer gesagt konnten die Angreifer 4,5 Millionen E-Mail-Adressen sowie 3,77 Millionen Kombinationen aus E-Mail-Adressen und gehashten Passwörtern erbeuten.

„Von diesen 8,3 Millionen Nutzern hatten 4,5 Millionen kein gehashtes Passwort, da sie ausschließlich über Partnerseiten (Google, Facebook, Twitter) bei dem Dienst eingeloggt hatten, bei diesen Benutzern konnten die Angreifer lediglich auf die E-Mail-Adresse zugreifen“, fügte Freepik hinzu. „Bei den verbleibenden 3,77 Millionen Nutzern konnte der Angreifer die E-Mail-Adresse sowie einen Hash ihres Passworts erbeuten. Bei 3,55 Millionen dieser Nutzer sind die Passwörter über das Hash-Verfahren bcrypt geschützt, bei den verbleibenden 229.000 Nutzern wurde die MD5-Verschlüsselung mit Salt genutzt.“

Freepik hat alle mit MD5 gehashte Passwörter gesperrt und Betroffene um die Vergabe eines neuen Anmeldepassworts gebeten. Mehr als 3 Millionen Nutzer mit einem über bcrypt geschützten Passwort erhielten eine E-Mail mit der Empfehlung, ihre Passwörter zurückzusetzen. Darüber hinaus wurde allen Flaticon- und Freepik-Benutzern nahegelegt, die Passwörter für alle Online-Benutzerkonten zu ändern, für die sie die gleichen Anmeldedaten verwendet haben.

Der Plattformanbieter gibt zudem an, seine Nutzerdaten mit geleakten Anmeldedaten im Netz abzugleichen. Werden übereinstimmungen mit Nutzern von Freepik oder Flaticon gefunden, werden die entsprechenden Passwörter gesperrt und die Benutzer aufgefordert, ihre Anmeldedaten zu aktualisieren.

Freepik entschuldigte sich für die Datenpanne und versicherte seinen Nutzern, dass sowohl interne als auch externe Sicherheitsmaßnahmen weiter verstärken werde, um ähnliche Vorfälle im Zukunft zu vermeiden.

„Infolge dieses Vorfalls haben wir unsere Zusammenarbeit mit externen Sicherheitsberatern deutlich ausgeweitet und mit einer renommierten Agentur eine vollständige überprüfung unserer externen und internen Sicherheitsmaßnahmen durchgeführt“, so Freepik abschließend. „Wir haben kurzfristig eine Reihe von Maßnahmen ergriffen, um unsere Sicherheit zu erhöhen, und planen zudem mittel- und langfristige zusätzliche Sicherheitsmaßnahmen.“

 

rn