世界上最大的图形资源网站存在sql漏洞,830万用户数据泄露

安全
Freepik说,在针对公司Flaticon网站的SQL注入攻击中,黑客能够窃取830万Freepik和Flaticon用户的电子邮件和密码哈希。

Freepik说,在针对公司Flaticon网站的SQL注入攻击中,黑客能够窃取830万Freepik和Flaticon用户的电子邮件和密码哈希。

[[338884]]

Freepik是Freepik(世界上最大的在线图形资源网站之一)和Flaticon(图标数据库平台)背后的公司,每月总计1800万独立用户,每月5000万浏览量和1亿下载量。

Freepik安全漏洞背后的威胁参与者能够窃取830万用户中最古老的电子邮件和密码哈希(如果有)。

“要澄清,密码的哈希不是密码,不能用来登录到您的帐户,” Freepik补充说。

违规后重置229K MD5含盐密码

该公司补充说:“在这830万用户中,有450万没有哈希密码,因为他们仅使用联合登录名(使用Google,Facebook和/或Twitter),并且攻击者从这些用户那里获得的唯一数据是他们的电子邮件地址。”。

355万用户的电子邮件地址和密码的bcrypt哈希值是由攻击者收集和窃取的,而大约229,000用户的攻击者则获得了MD5+盐的密码哈希值。

由于使用盐+MD5散列的密码很容易破解,因此Freepik重置了所有229,000用户的帐户,并通过电子邮件发送给他们以尽快更改其密码。

对于使用bcrypt散列密码的355万用户,Freepik除了通过电子邮件通知他们更新其凭据外,没有采取其他措施。

Freepik现在使用bcrypt哈希所有用户密码

“那些用盐+MD5散列密码的用户将被取消密码,并收到一封电子邮件,敦促他们选择新密码,并在与其他任何站点共享密码时更改密码(强烈建议不要这样做),”Freepik解释了。

“使用bcrypt散列密码的用户收到一封电子邮件,提示他们更改密码,特别是在密码容易猜到的情况下。只有电子邮件泄漏的用户会收到通知,但无需采取任何特殊措施。”Freepik说,由于数据泄露正在使用bcrypt散列所有用户密码,并雇用了外部安全专家来对内部和外部安全措施进行全面审核。

如果您想检查自己的凭据是否因数据泄露而受到破坏,可以使用``我已经被拥有''了,这是一个庞大的帐户数据库,在数百次站点泄露后泄漏了。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2020-09-08 08:48:07

数据泄露漏洞信息安全

2020-09-10 14:47:47

网络安全网络安全技术周刊

2021-04-02 11:09:35

MobiKwik 移动支付数据泄露

2021-11-09 15:47:05

Robinhood攻击数据泄露

2023-03-23 18:31:31

2024-10-10 14:59:49

2024-07-17 23:36:11

2014-05-14 09:53:11

2024-11-12 15:50:59

2015-11-09 17:12:57

2015-11-06 09:59:45

2017-03-22 19:18:15

2018-03-23 12:13:38

2021-06-17 12:51:07

数据泄漏漏洞网络攻击

2013-07-21 16:51:23

2013-07-22 10:27:06

Ubuntu论坛数据黑客

2014-05-14 09:40:57

2020-04-01 14:12:35

数据泄露GDPR万豪

2020-03-09 14:05:27

数据库工具技术

2021-08-22 14:34:59

黑客数据泄露网络攻击
点赞
收藏

51CTO技术栈公众号