Freepik 데이터 유출 발생, SQL 인젝션 통해 830만 기록 훔쳐

Freepik data breach: Hackers stole 8.3M records via SQL injection

 

Freepik이 해커가 Flaticon의 웹사이트에 SQL 인젝션 공격을 실행하여 830만 Freepik 및 Flaticon 사용자의 이메일 및 비밀번호 해시를 훔쳤다고 밝혔습니다.

 

Freepik은 세계 최대 규모 온라인 그래픽 리소스 사이트 중 하나인 Freepik과 아이콘 데이터베이스 Flaticon을 운영하는 회사로 월간 순 이용자 수 1,800만 명, 월간 조회수 50만회, 월간 다운로드 수 1억 회를 기록했습니다.

 

Freepik 해킹에 성공한 공격자는 가장 오래된 사용자 830만명의 이메일 및 비밀번호 해시를 훔친 것으로 나타났습니다.

 

Freepik은 “비밀번호 해시로 비밀번호를 알아낼 수는 없기 때문에 이를 통해 사용자의 계정에 로그인하는 것은 불가능합니다.”라고 밝혔습니다.

 

솔티드 MD5 비밀번호 229,000건, 해킹사건 후 초기화돼

 

“830만 사용자 중 450만 사용자가 (구글, 페이스북, 트위터 등을 통한) 로그인 연동을 사용했기 때문에 해싱된 비밀번호가 없는 상태였습니다. 따라서 공격자는 이러한 사용자의 이메일 주소만을 훔쳐낼 수 있었습니다.”

 

공격자는 355만 사용자의 이메일 주소와 비밀번호 bcrypt 해시, 22.9만 사용자의 솔티드 MD5 비밀번호 해시를 수집 후 탈취할 수 있었습니다.

 

솔티드 MD5 비밀번호는 쉽게 해킹이 가능하기 때문에, Freepik은 22.9만 사용자의 비밀번호를 재설정한 후 가능한 빠른 시일 내 비밀번호를 변경하도록 이메일을 통해 알렸습니다.

 

Freepik은 bcrypt로 해싱된 비밀번호를 보유한 355만 사용자에게는 이메일을 통해 비밀번호를 변경하도록 요청하는 것 이외에는 별 다른 조치를 취하지 않았습니다.

 

 

<데이터 유출 알림 메일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/freepik-data-breach-hackers-stole-83m-records-via-sql-injection/>

 

 

Freepik, 이제부터 모든 사용자 비밀번호 bcrypt로 해싱해

 

“솔티드 MD5로 비밀번호가 해싱된 사용자들의 비밀번호는 삭제되었으며, 해당 사용자들에게는 비밀번호를 변경하고 다른 사이트에서 동일한 비밀번호를 사용했을 경우 함께 변경 할 것을 권장하는 이메일을 전송했습니다.”

 

“bcrypt로 비밀번호가 해싱된 사용자들에게는 특히 비밀번호가 추측하기 쉬울 경우 변경할 것을 권장하는 이메일을 전송했습니다. 이메일만 유출된 사용자들에게도 알림을 전송하였으나 별 다른 추가 조치는 필요하지 않습니다.”

 

Freepik은 데이터 유출 사고 이후 모든 사용자 비밀번호를 bcrypt를 통해 암호화하기 시작했으며 내부 및 외부 보안 감사를 진행하기 위한 외부 보안 전문가를 고용했다고 밝혔습니다.

 

이 사고로 인해 자신의 크리덴셜이 유출되었는지 확인하고자 할 경우, 사이트 유출 사고 수 백건의 데이터베이스를 보유한 Have I Been Pwned 서비스를 이용하실 수 있습니다.

  

  

 

출처:

https://www.bleepingcomputer.com/news/security/freepik-data-breach-hackers-stole-83m-records-via-sql-injection/