Freepik說(shuō)，在針對(duì)公司Flaticon網(wǎng)站的SQL注入攻擊中，黑客能夠竊取830萬(wàn)Freepik和Flaticon用戶(hù)的電子郵件和密碼哈希。

[[338884]]

Freepik是Freepik(世界上最大的在線(xiàn)圖形資源網(wǎng)站之一)和Flaticon(圖標(biāo)數(shù)據(jù)庫(kù)平臺(tái))背后的公司，每月總計(jì)1800萬(wàn)獨(dú)立用戶(hù)，每月5000萬(wàn)瀏覽量和1億下載量。

Freepik安全漏洞背后的威脅參與者能夠竊取830萬(wàn)用戶(hù)中最古老的電子郵件和密碼哈希(如果有)。

“要澄清，密碼的哈希不是密碼，不能用來(lái)登錄到您的帳戶(hù)，” Freepik補(bǔ)充說(shuō)。

違規(guī)后重置229K MD5含鹽密碼

該公司補(bǔ)充說(shuō)：“在這830萬(wàn)用戶(hù)中，有450萬(wàn)沒(méi)有哈希密碼，因?yàn)樗麄儍H使用聯(lián)合登錄名(使用Google，F(xiàn)acebook和/或Twitter)，并且攻擊者從這些用戶(hù)那里獲得的唯一數(shù)據(jù)是他們的電子郵件地址。”。

355萬(wàn)用戶(hù)的電子郵件地址和密碼的bcrypt哈希值是由攻擊者收集和竊取的，而大約229,000用戶(hù)的攻擊者則獲得了MD5+鹽的密碼哈希值。

由于使用鹽+MD5散列的密碼很容易破解，因此Freepik重置了所有229,000用戶(hù)的帳戶(hù)，并通過(guò)電子郵件發(fā)送給他們以盡快更改其密碼。

對(duì)于使用bcrypt散列密碼的355萬(wàn)用戶(hù)，F(xiàn)reepik除了通過(guò)電子郵件通知他們更新其憑據(jù)外，沒(méi)有采取其他措施。

Freepik現(xiàn)在使用bcrypt哈希所有用戶(hù)密碼

“那些用鹽+MD5散列密碼的用戶(hù)將被取消密碼，并收到一封電子郵件，敦促他們選擇新密碼，并在與其他任何站點(diǎn)共享密碼時(shí)更改密碼(強(qiáng)烈建議不要這樣做)，”Freepik解釋了。

“使用bcrypt散列密碼的用戶(hù)收到一封電子郵件，提示他們更改密碼，特別是在密碼容易猜到的情況下。只有電子郵件泄漏的用戶(hù)會(huì)收到通知，但無(wú)需采取任何特殊措施。”Freepik說(shuō)，由于數(shù)據(jù)泄露正在使用bcrypt散列所有用戶(hù)密碼，并雇用了外部安全專(zhuān)家來(lái)對(duì)內(nèi)部和外部安全措施進(jìn)行全面審核。

如果您想檢查自己的憑據(jù)是否因數(shù)據(jù)泄露而受到破壞，可以使用``我已經(jīng)被擁有''了，這是一個(gè)龐大的帳戶(hù)數(shù)據(jù)庫(kù)，在數(shù)百次站點(diǎn)泄露后泄漏了。