技术编辑:宗恩丨发自 思否编辑部
SegmentFault 思否报道丨公众号:SegmentFault
来自外媒音讯,近日致力于提供高质量收费照片和设计图形的网站 Freepik(蕴含 Flaticon)披露了一起重大安全漏洞。
公开信息显示 Freepik 是当今互联网上最受欢迎的网站之一,目前在 Alexa 百强网站排行榜上排名第 97 位。Flaticon 也不甘落后,排名第 668 位。
当 EQT 在往年 5 月底收买 Freepik 公司时,该公司声称 Freepik 服务领有超过 2000 万注册用户的社区。
本周有用户开始在社交媒体上埋怨他们的收件箱中收到了明码泄露告诉邮件后,该公司正式发表了这一音讯。
黑客用 SQL 注入破绽
此次安全事故为一名黑客利用 SQL 注入破绽,并胜利拜访存储用户数据的数据库。Freepik 示意,黑客取得了 Freepik 和 Flaticon 网站上 830 万注册用户的用户名和明码。Freepik 没有阐明破绽产生的工夫,也没有阐明它是何时发现的。仅示意在得悉这一事件后,立刻告诉了无关部门,并开始考察这一破绽。
至于被取走的内容,并不是所有用户的账户都有相干的明码,黑客只取走了局部用户的电子邮件。
这一数字大概为 450 万,它们应用联结登录 (谷歌、Facebook 或 Twitter) 登录账户的用户。对于剩下的 377 万用户,攻击者失去了他们的电子邮件地址和明码的哈希值,这些用户中的 355 万用户,散列明码的办法是 bcrypt,对于残余的 229K 用户,办法是 saltted MD5。Freepik 曾经尽快将所有用户的哈希值更新为 bcrypt。”
督促用户批改明码
Freepik 示意,当初正在用定制的电子邮件告诉所有受影响的用户。这些邮件将发给 Freepik 和 Flaticon 用户:
「如果明码与任何其余网站共享,请更改明码,特地是如果是一个容易猜到的明码。您能够通过『我已被伪造』这一我的项目来验证您的电子邮件或明码是否已因任何透露而受到侵害:https://haveibeenpwned.com
咱们会定期检查网上透露的电子邮件和明码,如果发现它们与 Freepik 或 Flaticon 上任何用户的凭据匹配,咱们将禁用明码并告诉所有者他们须要更新明码。
因为这一事件,咱们大大扩大了与内部平安参谋的单干,并与一流机构对咱们的外部和内部安全措施进行了全面审查。咱们采取了一些重要的短期措施来进步咱们的安全性,并打算了中长期的额定安全措施。
尽管没有零碎是 100%平安的,但这种状况本不应该产生,对于这种透露咱们深表歉意。」
布告传送门:www.freepik.com/blog/statement-on-security-incident-at-freepik-company/