全球最大的图形资源网站存在SQL漏洞,830万用户数据泄露Freepik是Freepik(世界上最大的在线图形资源网站之一)和Flaticon(图标数据库平台)背后的公司,每月共有1800万独立用户、5000万次浏览和1亿次下载。Freepik安全漏洞背后的威胁行为者能够窃取830万用户最旧的电子邮件和密码哈希值(如果有)。“澄清一下,密码的哈希值不是密码,不能用于登录您的帐户,”Freepik补充道。229KMD5加盐密码在违??规后重置该公司补充说:“在这830万用户中,有450万没有哈希密码,因为他们只使用联合登录(使用谷歌、Facebook和/或Twitter),而攻击是攻击者获得的唯一数据来自这些用户的是他们的电子邮件地址。”攻击者收集并窃取了355万用户的电子邮件地址和密码的Bcrypt哈希值,同时攻击者获得了大约229,000名用户的MD5+salted密码哈希值。由于经过salt+MD5散列的密码很容易被破解,Freepik重置了所有229,000名用户的账户,并尽快通过电子邮件向他们更改密码。对于使用bcrypt对密码进行哈希处理的355万用户,Freepik除了向他们发送电子邮件以更新其凭据外,什么也没做。Freepik现在使用bcrypt对所有用户密码进行哈希处理“那些使用salt+MD5对密码进行哈希处理的用户将撤销其密码并收到一封电子邮件,敦促他们选择一个新密码并在与任何其他网站共享时更改密码(强烈建议不要这样做)”弗里皮克解释道。“使用bcrypt对密码进行哈希处理的用户会收到一封电子邮件,提示他们更改密码,尤其是在密码很容易被猜到的情况下。只有电子邮件被泄露的用户会收到通知,但不需要采取任何特殊措施。”Freepik表示,由于数据泄露,它正在使用bcrypt散列所有用户密码,并聘请外部安全专家对内部和外部安全措施进行全面审计。如果您想检查您的凭据是否因数据泄露而受到损害,您可以使用I'veBeenPossessed,这是一个在数百次网站泄露后泄露的大型帐户数据库。
