Freepik'e SQL Injection Saldırısı

Ücretsiz stok görsellerin bulunduğu popüler bir site olan Freepik, SQL injection saldırısı yaşadıklarını ve 8.3 milyon kullanıcının bazı bilgilerinin ele geçirildiğini söyledi.

Ali
Pa, 23/08/2020 - 02:32
Saldırılar
Freepik'e SQL Injection Saldırısı

Ücretsiz bir şekilde stok görsellere ulaşılabilen popüler bir site olan Freepik, yayınladığı duyuruda siber saldırıya maruz kaldıklarını söyledi.

Şirket tarafından yapılan duyuruda, duyurudan kısa bir süre önce siber saldırıdan etkilenen kullanıcılara e-postayla durumun bildirildiği, söz konusu siber saldırıdan Freepik Company'nin altında bulunan Freepik ve Flaticon'un etkilendiği söylendi.

Yaşanılan siber saldırının, hackerların SQL injection saldırısı gerçekleştirmesiyle meydana geldiğini söyleyen yetkililer, bunun sonucunda veritabanından hem Freepik hem de Flaticon'a ait 8.3 milyon kullanıcının e-posta adresinin ve eğer mevcutsa karma parolasının ele geçirildiğini tespit ettiklerini söyledi.

Yetkililer, bu 8.3 milyon kullanıcının 4.5 milyonunun karma parolasının olmadığını çünkü bu kullanıcıların siteye Google, Facebook ve Twitter ile giriş yaptıklarını yani bu kullanıcıların yalnızca e-posta adreslerinin ele geçirildiğini söyledi.

Geriye kalan 3.77 milyon kullanıcının, e-posta adresinin ve karma parolasının ele geçirildiğini söyleyen şirket yetkilileri, bu 3.77 milyon kullanıcının 3.55 milyonunun parolalarının bcrypt algoritmasıyla şifrelendiğini, geriye kalan 229 bin kullanıcının parolasının ise MD5 algoritması ile şifrelendiğini ve bu 229 bin kullanıcının parolasının, bahsi geçen siber saldırı tespit edildikten sonra bcrypt algoritmasıyla şifrelendiğini söyledi.

Yetkililer duyuruda, "Parolaları MD5 ile şifrelenmiş kullanıcıların parolaları iptal edildi ve yeni bir parola oluşturmaları ve başka bir siteyle paylaşıldıysa (Kesinlikle tavsiye edilmeyen bir uygulama) parolalarını değiştirmelerini isteyen bir e-posta aldılar. Parolaları bcrypt ile şifrelenen kullanıcılar, özellikle tahmin edilmesi kolay bir parola ise parolalarını değiştirmelerini öneren bir e-posta aldı. Yalnızca e-postaları sızdırılan kullanıcılar bilgilendirildi, ancak kendilerinden özel bir işlem yapılması istenmedi" dedi.

Yetkililer son olarak, "Bu olay nedeniyle, dış güvenlik danışmanlarıyla olan ilişkimizi büyük ölçüde genişlettik ve birinci sınıf bir kurumla dış ve iç güvenlik önlemlerimizin tam bir incelemesini yaptık. Güvenliğimizi artırmak için bazı önemli kısa vadeli önlemler aldık ve orta ve uzun vadeli ekstra güvenlik önlemleri planladık. Hiçbir sistem %100 güvenli olmasa da, bu olmamalıydı ve bu sızıntı için özür dileriz" dedi.

Subscribe to newsletter

Yorumlar

Yorum mevcut değil.