Freepk是一家致力于提供高质量免费照片和设计图形访问的网站,今天披露了一个重大的安全漏洞。
在用户本周开始在社交媒体上抱怨他们的收件箱里收到了看起来可疑的违规通知电子邮件后,该公司将其公之于众。
ZDNet周四联系了Freepk公司,虽然在这篇文章发表之前我们没有收到任何回复,但该公司今天正式披露了一个安全漏洞,证实了它过去几天向注册用户发送的电子邮件的真实性。
根据该公司的官方声明,安全漏洞发生在一名(或多名)黑客利用一个(或多个)SQL注入漏洞获得对其存储用户数据的数据库之一的访问权限之后。
Freepk说,黑客获得了在其Freepk和Flaticon网站上注册的最老的830万用户的用户名和密码。
弗里皮克没有说入侵发生的时间,也没有说它是什么时候发现的。然而,该公司表示,它在得知这一事件后立即通知了当局,并开始调查入侵事件,以及黑客访问了哪些内容。
至于被窃取了什么,Freepk说,并不是所有的用户都有与他们的账户相关的密码,黑客只窃取了一些用户的电子邮件。
该公司称这一数字为450万,代表使用联合登录(谷歌、Facebook或Twitter)登录账户的用户。
该公司补充说,对于剩下的377万用户,攻击者获得了他们的电子邮件地址和密码哈希。对于这些用户中的355万人,散列密码的方法是bcrypt,而对于剩余的22.9万用户,该方法是加盐MD5。从那时起,我们已经将所有用户的散列更新为bcrypt。
该公司表示,它目前正在通过定制的电子邮件通知所有受影响的用户,具体取决于被窃取的内容。这些电子邮件将发送给Freepk和Flaticon用户,具体取决于用户注册的服务。以下是我们从读者那里收到的一些信息。
弗里皮克说,那些使用加盐的MD5散列密码的人密码被取消,并收到一封电子邮件,敦促他们选择新密码,并在与任何其他网站共享密码时更改密码(强烈不鼓励这种做法)。使用bcrypt散列密码的用户会收到一封电子邮件,建议他们更改密码,特别是如果密码很容易被猜到的话。只通知了电子邮件泄露的用户,但不需要他们采取特别行动。";
Freepk是当今互联网上最受欢迎的网站之一,目前在Alexa前100名网站排行榜上排名第97位。Flaticon紧随其后,排名第668位。
当EQT在今年5月底收购Freepk公司时,该公司声称Freepk服务拥有一个超过2000万注册用户的社区。
在Freepk公司的另一个网站Slidesgo上注册的用户似乎没有受到影响。