Freepik SQL 注入漏洞攻擊，800 萬用戶遭受數據泄露

熱門圖片網站Freepik披露了一起影響超過800萬用戶的重大數據泄露事件。

該事件還影響了姊妹網站Flaticon的用戶，該網站聲稱擁有世界上最大的免費圖標數據庫。

在周末發布的一份泄露通知中，該公司稱，一名攻擊者泄露了Flaticon網站的SQL注入漏洞，該漏洞允許他們訪問數據庫中的用戶信息。

在830萬受影響的用戶中，他們的電子郵件地址全部被盜，近380萬用戶的網站密碼也被盜。

大多數（360萬）使用bcrypt加密，而229,000被不太安全的MD5保護。后者已升級到bcrypt。

其余的450萬用戶使用其聯合的Google，Facebook或Twitter賬號登錄的，因此，黑客僅逃脫了他們的電子郵件。但是，這些仍可用于制作請求密碼確認的網絡釣魚電子郵件。

該公司似乎迅速采取了行動來緩解這一問題，聲稱會定期檢查客戶在網上的電子郵件和密碼，并在發現問題時通知受影響的客戶。

“那些用 salted MD5 哈希密碼的用戶將被取消，并收到一封電子郵件，敦促他們選擇新密碼，并在與任何其他網站共享密碼的情況下更改密碼（強烈建議不要這樣做），” Freepik解釋說。

“使用bcrypt加密密碼的用戶會收到一封電子郵件，提示他們更改密碼，特別是在密碼容易猜到的情況下。僅通知了電子郵件泄漏的用戶，但無需采取任何特殊措施。”

K2網絡安全首席技術官兼聯合創始人Jayant Shukla認為，企業需要采取更多措施來減輕SQL注入攻擊的風險，而SQL注入利用仍然是攻擊者中最受歡迎的攻擊之一。

“組織需要采取行動以更好地保護自己免受SQL漏洞的侵害：1）實施更好的編碼實踐以防止SQL注入； 2）在代碼投入生產之前，對SQL注入漏洞進行更好的測試； 3）確保他們具有針對SQL的保護運行時注入攻擊”，他說。