Freepik-Hack: Mehr als 8 Millionen Nutzereinträge kopiert

Wer die Onlinedienste Freepik oder Flaticon zum Herunterladen von Bildern und Icons nutzt, sollte aus Sicherheitsgründen sein Passwort ändern. Bei einer Hacker-Attacke hatten Angreifer Zugriff auf Mail-Adressen und Passwörter von 8,3 Millionen Nutzern.

In einem offiziellen Statement führt die Freepik Company aus, dass 4,5 Millionen der betroffenen Nutzer sich über Google oder Facebook bei den Diensten eingeloggt haben. In diesen Fällen hatten die Angreifer keinen Zugriff auf Kennwörter.

(Fast alle) Passwörter optimal geschützt

Bei den verbleibenden 3,77 Millionen Betroffenen sind die Passwörter über das Hash-Verfahren bcrypt geschützt. Das Verfahren gilt nach jetzigem Kenntnisstand als sicher. Angreifer können die erbeuteten Passwörter in diesem Fall also nicht ohne Weiteres entschlüsseln und haben so keinen direkten Zugriff auf Accounts.

Anders sieht das bei den mit der schon lange als unsicher geltenden Hash-Funktion MD5 behandelten Kennwörtern von 229.000 Nutzern aus. Zwar erhöht hier eine Zufallszahl (Salt) den Schutz, nichtsdestotrotz haben die Verantwortlichen die Passwörter gesperrt und Betroffene mit der Bitte der Vergabe eines neuen Kennworts angeschrieben. Die Freepik Company versichert, von jetzt an ausschließlich auf bcrypt zu setzen.

Verbrannte Accounts

Wer sein Passwort von diesen Diensten auch bei anderen Online-Services einsetzt, sollte aus auch dort ändern. Generell gilt, dass man für jeden Account ein individuelles Kennwort nutzen sollten. Vor allem den Mail-Account als zentrale Anlaufstelle sollte man mit einem starken Passwort vor unrechtmäßigen Zugriffen schützen.

Auf der Website haveibeenpwned.com kann man prüfen, ob die eigene E-Mail-Adresse in einem öffentlich bekannten Hack vorkommt. Die Freepik Company gibt an, Nutzerdaten mit Leaks abzugleichen und Nutzer bei einer Übereinstimmung zu benachrichtigen.

(des)