Freepik是一个致力于提供高质量免费照片和设计图形访问的网站,今天披露了一个重大安全漏洞。
在用户本周开始在社交媒体上抱怨在其收件箱中收到看起来阴暗的违规通知电子邮件后,该公司正式宣布正式成立。
该公司今天正式披露了一个安全漏洞,确认了过去几天发送给注册用户的电子邮件的真实性。
根据该公司的官方声明,此安全漏洞是在一个或多个黑客使用SQL注入漏洞来访问其存储用户数据的数据库之一之后发生的。
Freepik说,黑客获得了在其Freepik和Flaticon网站上注册的830万最老用户的用户名和密码。
Freepik并未透露违规发生的时间或何时发现。但该公司表示,一旦得知该事件,便立即通知当局,并开始调查该违规行为以及黑客所访问的内容。
至于采取的措施,Freepik说并不是所有的用户都有与他们的帐户相关联的密码,而黑客只接收了一些用户的电子邮件。
该公司将这个数字定为450万,代表使用联合登录(Google,Facebook或Twitter)登录其帐户的用户。
对于其余的377万用户,攻击者获得了他们的电子邮件地址和密码的哈希值。对于其中的3.55M用户而言,对密码进行哈希加密的方法是bcrypt,而对于其余的229K用户,该方法使用的是盐腌MD5。此后,我们将所有用户的哈希值更新为bcrypt。
该公司表示,目前正在根据所采取的措施,通过自定义电子邮件通知所有受影响的用户。这些电子邮件将发给Freepik和Flaticon用户,具体取决于用户所注册的服务。以下是我们从读者那里收到的一些消息。
那些密码用盐腌MD5散列的用户将被取消密码,并收到一封电子邮件,敦促他们选择新密码,并在与其他任何站点共享该密码时更改其密码,强烈建议不要这样做,使用bcrypt散列密码的用户收到一封电子邮件,提示他们更改密码,特别是在密码容易猜到的情况下。只有电子邮件泄漏的用户会收到通知,但无需采取任何特殊措施。
Freepik是当今互联网上最受欢迎的网站之一,目前在 Alexa百强网站列表中排名第97。Flaticon紧随其后,排名668。
当殷拓集团于今年5月底收购Freepik公司时,该公司声称Freepik服务拥有超过2000万注册用户。
在Freepik公司的另一个网站Slidesgo上注册的用户似乎没有受到影响。
点击阅读全文