Een aanvaller is erin geslaagd om de privégegevens van 8,3 miljoen gebruikers van Freepik en Flaticon te stelen, zo heeft het bedrijf achter de twee websites bekendgemaakt. Freepik en Flaticon bieden stockfoto's, vectorafbeeldingen en iconen. De aanvaller wist via SQL-injection in Flaticon gebruikersdata uit de database te stelen.

Het gaat om e-mailadressen en gehashte wachtwoorden. Van 4,5 miljoen gebruikers zijn geen wachtwoordhashes gestolen, omdat deze gebruikers via hun Google-, Facebook- of Twitteraccount inlogden. Van deze gebruikers is alleen het e-mailadres buitgemaakt. Van de 3,77 miljoen gebruikers van wie e-mailadres en wachtwoordhash werd gestolen ging het voor 3,55 miljoen gebruikers om een wachtwoord dat via het bcrypt-algoritme is gehasht.

De wachtwoorden van de overige 229.000 gebruikers waren gesalt en via het zwakke MD5-algoritme gehasht. Freepik heeft van deze 229.000 gebruikers het wachtwoord gereset en gebruikers een e-mail gestuurd om een nieuw wachtwoord aan te maken. De 3,77 miljoen gebruikers van wie het wachtwoord via bcrypt was gehasht wordt alleen aangeraden een nieuw wachtwoord in te stellen. Met name als het een eenvoudig te raden wachtwoord was. Gebruikers van wie het e-mailadres is gestolen zijn ingelicht, maar hoeven volgens Freepik geen verdere actie te ondernemen.

Naar aanleiding van het incident heeft Freepik de beveiligingsmaatregelen door een externe partij laten controleren. Vervolgens zijn er niet nader genoemde kortetermijnmaatregelen genomen om de veiligheid te verbeteren en zullen er ook voor de middellange en lange termijn extra maatregelen worden getroffen, aldus het bedrijf.

Bij SQL-injection, een probleem dat al sinds 1998 bekend is, wordt gebruikersinvoer niet goed door een website of webapplicatie gefilterd, waardoor de SQL-opdrachten van de aanvaller worden uitgevoerd. Die kan zo bijvoorbeeld data uit de database van de website stelen.