數百萬Flaticon和Freepik用戶的電子郵件和密碼已公開
在數據洩露之後,您可以了解有關公司對安全性態度的很多知識。您可以看到它過去的處理方式,當前的處理方式以及將來的視線。可悲的是,公司幾乎每天都會遭到破壞,並且我們有很多示例可以幫助我們比較和對比不同組織的不同反應。 Freepik和Flaticon背後的公司Freepik是披露網絡安全事件的最新在線服務,現在我們將看到從事件中可以得出什麼樣的結論。
Table of Contents
黑客從Freepik竊取約830萬用戶的信息
該公告於週六發布,已經通過電子郵件發送給所有830萬受影響的用戶。據稱,黑客入侵了Flaticon網站,並進入了一個數據庫,該數據庫包含有關在Flaticon.com和Freepik.com上註冊的前830萬個帳戶的記錄。其中有450萬條記錄僅包含電子郵件地址,因為帳戶所有者已使用其Facebook,Twitter或Google個人資料登錄。在其餘的377萬條記錄中,黑客還發現了密碼哈希。受影響的密碼中的22萬9散列並用MD5加密,其餘密碼則由bcrypt保護。
Freepik過去犯了一些錯誤
現在很明顯,當您在Freepik的一個網站上創建一個帳戶時,您也會在另一個網站上自動創建一個帳戶,但是當您查看註冊表格時,您會發現這並不清楚,這就是錯誤。可悲的是,這不是唯一的一個。
我們可以從以下陳述中得出結論:一開始,Freepik就是使用MD5對用戶密碼進行哈希處理,該算法如今很容易破解。顯然,隨著平台的普及,該公司意識到需要提高其安全性,因此改用bcrypt。為此,它值得一拍。 Freepik並沒有考慮保護前22.9萬個帳戶的所有者,但這不是一件好事。
黑客使用SQL注入闖入的事實也不是。這些攻擊現在被認為是相當古老的,保護您的網站免受攻擊並不是那麼困難。實際上,一些專家甚至認為,在2020年容易受到SQL注入的攻擊是完全不能接受的。
在披露方面,Freepik的表現要比試圖淡化該事件的許多數據洩露受害者要好得多。這次,我們對確切發生了什麼以及受影響的用戶需要做什麼有一個清晰的了解。我們從Freepik的披露中可以發現的唯一問題是,它沒有說明確切的違反時間。
Freepik希望將來會做得更好
與數據洩露相關的損害是不可避免的,但是如果一家公司確實想挽回面子,則需要向用戶展示它已經意識到發生了什麼並已經吸取了教訓。 Freepik在這方面做得很好。
用MD5散列的洩露密碼已被重置,不再有效。告知用戶有關信息,並敦促選擇新的安全性高的密碼。那些使用bcrypt散列其憑據的用戶也應了解此事件,建議他們出於謹慎考慮而更改其密碼。 Freepik還向使用其社交媒體帳戶註冊的用戶發送了電子郵件。他們應該警惕可疑電子郵件和潛在的網絡釣魚攻擊。
更重要的是,Freepik說,它正在採取措施以確保從現在開始,黑客將無法輕易闖入。希望他們會工作。