数百万Flaticon和Freepik用户的电子邮件和密码已公开

在数据泄露之后，您可以了解有关公司对安全性态度的很多知识。您可以看到它过去的处理方式，当前的处理方式以及将来的视线。可悲的是，公司几乎每天都会遭到破坏，并且我们有许多示例可以帮助我们比较和对比不同组织的不同反应。 Freepik和Flaticon背后的公司Freepik是披露网络安全事件的最新在线服务，现在我们将看到从事件中可以得出什么样的结论。

黑客从Freepik窃取约830万用户的信息

该公告于周六发布，已经通过电子邮件发送给所有830万受影响的用户。据称，黑客入侵了Flaticon网站，并进入了一个数据库，该数据库包含有关在Flaticon.com和Freepik.com上注册的前830万个帐户的记录。其中有450万条记录仅包含电子邮件地址，因为帐户所有者已使用其Facebook，Twitter或Google个人资料登录。在其余的377万条记录中，黑客还发现了密码哈希。受影响的密码中的22万9散列并用MD5加密，其余密码则由bcrypt保护。

Freepik过去犯了一些错误

现在很明显，当您在Freepik的一个网站上创建一个帐户时，您也会在另一个网站上自动创建一个帐户，但是当您查看注册表格时，您会发现这并不清楚，这就是错误。可悲的是，这不是唯一的一个。

我们可以从以下陈述中得出结论：一开始，Freepik就是使用MD5对用户密码进行哈希处理，该算法如今很容易破解。显然，随着平台的普及，该公司意识到需要提高其安全性，因此改用bcrypt。为此，它值得一拍。 Freepik并没有考虑保护前22.9万个帐户的所有者，但这不是一件好事。

黑客使用SQL注入闯入的事实也不是。这些攻击现在被认为是相当古老的，保护您的网站免受攻击并不是那么困难。实际上，一些专家甚至认为，在2020年容易受到SQL注入的攻击是完全不能接受的。

在披露方面，Freepik的表现要比试图淡化该事件的许多数据泄露受害者要好得多。这次，我们对确切发生了什么以及受影响的用户需要做什么有一个清晰的了解。我们从Freepik的披露中可以发现的唯一问题是，它没有说明确切的违反时间。

Freepik希望将来会做得更好

与数据泄露相关的损害是不可避免的，但是如果一家公司确实想挽回面子，则需要向用户展示它已经意识到发生了什么并已经吸取了教训。 Freepik在这方面做得很好。

用MD5散列的泄露密码已被重置，不再有效。用户已被告知有关信息，并敦促选择新的强密码。那些使用bcrypt散列其凭据的用户也应了解此事件，建议他们出于谨慎考虑而更改其密码。 Freepik还向使用其社交媒体帐户注册的用户发送了电子邮件。他们应该警惕可疑电子邮件和潜在的网络钓鱼攻击。

更重要的是，Freepik说，它正在采取措施以确保从现在开始，黑客将无法轻易闯入。希望他们会工作。