技术编辑:宗恩丨发自 思否编辑部
SegmentFault 思否报道丨公众号:SegmentFault
来自外媒音讯,近日致力于提供高质量收费照片和设计图形的网站Freepik(蕴含Flaticon)披露了一起重大安全漏洞。
公开信息显示Freepik是当今互联网上最受欢迎的网站之一,目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后,排名第668位。
当EQT在往年5月底收买Freepik公司时,该公司声称Freepik服务领有超过2000万注册用户的社区。
本周有用户开始在社交媒体上埋怨他们的收件箱中收到了明码泄露告诉邮件后,该公司正式发表了这一音讯。
黑客用SQL注入破绽
此次安全事故为一名黑客利用SQL注入破绽,并胜利拜访存储用户数据的数据库。Freepik示意,黑客取得了Freepik和Flaticon网站上830万注册用户的用户名和明码。Freepik没有阐明破绽产生的工夫,也没有阐明它是何时发现的。仅示意在得悉这一事件后,立刻告诉了无关部门,并开始考察这一破绽。
至于被取走的内容,并不是所有用户的账户都有相干的明码,黑客只取走了局部用户的电子邮件。
这一数字大概为450万,它们应用联结登录(谷歌、Facebook或Twitter)登录账户的用户。对于剩下的377万用户,攻击者失去了他们的电子邮件地址和明码的哈希值,这些用户中的355万用户,散列明码的办法是 bcrypt,对于残余的229K用户,办法是 saltted MD5。Freepik 曾经尽快将所有用户的哈希值更新为bcrypt。"
督促用户批改明码
Freepik 示意,当初正在用定制的电子邮件告诉所有受影响的用户。这些邮件将发给Freepik和Flaticon用户:
「如果明码与任何其余网站共享,请更改明码,特地是如果是一个容易猜到的明码。您能够通过『我已被伪造』这一我的项目来验证您的电子邮件或明码是否已因任何透露而受到侵害:https://haveibeenpwned.com
咱们会定期检查网上透露的电子邮件和明码,如果发现它们与Freepik 或Flaticon上任何用户的凭据匹配,咱们将禁用明码并告诉所有者他们须要更新明码。
因为这一事件,咱们大大扩大了与内部平安参谋的单干,并与一流机构对咱们的外部和内部安全措施进行了全面审查。咱们采取了一些重要的短期措施来进步咱们的安全性,并打算了中长期的额定安全措施。
尽管没有零碎是100%平安的,但这种状况本不应该产生,对于这种透露咱们深表歉意。」
布告传送门:www.freepik.com/blog/statement-on-security-incident-at-freepik-company/