这几天不少Freepik的用户想必都收到了一封邮件,被告知信息泄露建议修改密码。一般看到这样的官方邮件,在确认真实性之后不要犹豫,直接去修改密码或者注销账户。
8月21日,Freepik公司发布了官方公告,披露了一项数据泄露事件,但并没有明确说明事故发生的时间。黑客通过Freepik公司旗下三大网站之一Flaticon中SQL注入漏洞访问了数据库,获取了部分用户的信息。
通过事故分析,黑客可能已经获取了多达830万用户的电子邮件和密码哈希值。虽然无法直接用来登录,但仍然存在一定的风险性。
需要注意的是,其中有450万用户由于使用第三方联合登录,攻击者可以获得的数据只有电子邮件,并不存在哈希密码。
根据官方公告,还有377万用户的邮件地址和密码哈希值已经被黑客获取。其中多数密码通过Bcrypt加密,仍有22.9万早期用户的密码采用的是salted MD5。在事故发生后,Freepik已经将所有用户密码加密方式更新为Bcrypt。
为了安全起见,这22.9万用户的密码直接被重置,同时会收到一封设置新密码的邮件,其它用户也建议重新设置密码,尤其是采用弱密码的用户。
Freepik公司旗下拥有三个网站——freepic、flatiron以及slidesgo,提供大量免费的图形设计资源以及幻灯片模版,在全球拥有超过2000万用户。这次事故受影响的貌似只有freepic、flatiron,slidesgo的数据并未受到牵连。
我平时也会在这个网站去寻找一些海报素材,在事故发生后,我同样收到了官方的提醒邮件,如果你的密码习惯保存在1password中,同样也会出现「密码已泄露」的提醒。
Freepik公司表示已经联系一流机构对安全问题进行全面审查,会采取一些重要措施提升安全性。对于事故中受影响的账户,会进行定期检查,一旦发现网络上出现与此次泄露数据匹配的凭据,将直接禁用密码并通知所有者需要更新其凭据。
最后,个人建议所有8月21日之前注册的Freepik账户及时更改一次密码,尽量使用复杂度较高的密码。日常设置密码也需要养成不同账号使用不同密码的习惯。
来源:freebuf.com 2020-08-23 23:38:29 by: qikepai
请登录后发表评论
注册