這幾天不少Freepik的用戶想必都收到了一封郵件,被告知信息洩露建議修改密碼。一般看到這樣的官方郵件,在確認真實性之後不要猶豫,直接去修改密碼或者註銷帳戶。
8月21日,Freepik公司發布了官方公告,披露了一項數據洩露事件,但並沒有明確說明事故發生的時間。黑客通過Freepik公司旗下三大網站之一Flaticon中SQL注入漏洞訪問了資料庫,獲取了部分用戶的信息。
通過事故分析,黑客可能已經獲取了多達830萬用戶的電子郵件和密碼哈希值。雖然無法直接用來登錄,但仍然存在一定的風險性。
需要注意的是,其中有450萬用戶由於使用第三方聯合登錄,攻擊者可以獲得的數據只有電子郵件,並不存在哈希密碼。
根據官方公告,還有377萬用戶的郵件地址和密碼哈希值已經被黑客獲取。其中多數密碼通過Bcrypt加密,仍有22.9萬早期用戶的密碼採用的是salted MD5。在事故發生後,Freepik已經將所有用戶密碼加密方式更新為Bcrypt。
為了安全起見,這22.9萬用戶的密碼直接被重置,同時會收到一封設置新密碼的郵件,其它用戶也建議重新設置密碼,尤其是採用弱密碼的用戶。
Freepik公司旗下擁有三個網站——freepic、flatiron以及slidesgo,提供大量免費的圖形設計資源以及幻燈片模版,在全球擁有超過2000萬用戶。這次事故受影響的貌似只有freepic、flatiron,slidesgo的數據並未受到牽連。
我平時也會在這個網站去尋找一些海報素材,在事故發生後,我同樣收到了官方的提醒郵件,如果你的密碼習慣保存在1password中,同樣也會出現「密碼已洩露」的提醒。
Freepik公司表示已經聯繫一流機構對安全問題進行全面審查,會採取一些重要措施提升安全性。對於事故中受影響的帳戶,會進行定期檢查,一旦發現網絡上出現與此次洩露數據匹配的憑據,將直接禁用密碼並通知所有者需要更新其憑據。
最後,個人建議所有8月21日之前註冊的Freepik帳戶及時更改一次密碼,儘量使用複雜度較高的密碼。日常設置密碼也需要養成不同帳號使用不同密碼的習慣。