致力于提供高质量免费照片和设计图形访问的网站freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后,该公司正式宣布了这一消息,从而确认了过去几天向注册用户发送的邮件的真实性。
根据该公司的官方声明,此次安全漏洞发生在一名黑客(或多名黑客)利用sql注入漏洞访问其一个存储用户数据的数据库之后。freepik表示,黑客获得了其freepik和flaticon网站上最老的830万注册用户的用户名和密码。
freepik没有说明漏洞发生的时间,也没有说明它是何时发现的。不过,该公司表示,在得知这一事件后,立即通知了有关部门,并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容,freepik表示,并不是所有用户的账户都有相关的密码,黑客只取走了部分用户的信息。
该公司将这一数字定为450万,其中包括使用第三方联合登录账户的用户(谷歌、facebook或twitter)。
"对于剩下的377万用户,攻击者得到了他们的电子邮件地址和密码的哈希值,"该公司补充道。"散列密码的方法是bcrypt,还有22万9千名用户的方法是saltted md5。随后,我们已经将所有用户的哈希值更新为bcrypt。"
该公司表示,现在正在根据被采取的措施,用定制的电子邮件通知所有受影响的用户。这些邮件将发给freepik和flaticon用户,这取决于用户在什么服务上注册过。freepik是当今互联网上最受欢迎的网站之一,目前在alexa百强网站排行榜上排名第97位。flaticon也不甘落后,排名第668位。
当eqt在今年5月底收购freepik公司时,该公司宣称freepik服务拥有超过2000万注册用户。
freepik公司的另一家网站slidesgo的注册用户似乎没有受到影响。
来源:https://tech.sina.com.cn/roll/2020-08-23/doc-iivhuipp0220507.shtml
试用申请