拥有2000万用户的免费图片网站被攻击，830万用户密码泄露

技术编辑：宗恩丨发自 思否编辑部

SegmentFault 思否报道丨公众号：SegmentFault

---

来自外媒消息，近日致力于提供高质量免费照片和设计图形的网站Freepik（包含Flaticon）披露了一起重大安全漏洞。

公开信息显示Freepik是当今互联网上最受欢迎的网站之一，目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后，排名第668位。

当EQT在今年5月底收购Freepik公司时，该公司宣称Freepik服务拥有超过2000万注册用户的社区。

本周有用户开始在社交媒体上抱怨他们的收件箱中收到了密码泄露通知邮件后，该公司正式宣布了这一消息。

黑客用SQL注入漏洞

此次安全事故为一名黑客利用SQL注入漏洞，并成功访问存储用户数据的数据库。Freepik表示，黑客获得了Freepik和Flaticon网站上830万注册用户的用户名和密码。Freepik没有说明漏洞发生的时间，也没有说明它是何时发现的。仅表示在得知这一事件后，立即通知了有关部门，并开始调查这一漏洞。

至于被取走的内容，并不是所有用户的账户都有相关的密码，黑客只取走了部分用户的电子邮件。

这一数字大约为450万，它们使用联合登录(谷歌、Facebook或Twitter)登录账户的用户。对于剩下的377万用户，攻击者得到了他们的电子邮件地址和密码的哈希值，这些用户中的355万用户，散列密码的方法是 bcrypt，对于剩余的229K用户，方法是 saltted MD5。Freepik 已经尽快将所有用户的哈希值更新为bcrypt。"

督促用户修改密码

Freepik 表示，现在正在用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户：

「如果密码与任何其他网站共享，请更改密码，特别是如果是一个容易猜到的密码。您可以通过『我已被伪造』这一项目来验证您的电子邮件或密码是否已因任何泄漏而受到损害：https://haveibeenpwned.com

我们会定期检查网上泄漏的电子邮件和密码，如果发现它们与Freepik 或Flaticon上任何用户的凭据匹配，我们将禁用密码并通知所有者他们需要更新密码。

由于这一事件，我们大大扩展了与外部安全顾问的合作，并与一流机构对我们的内部和外部安全措施进行了全面审查。我们采取了一些重要的短期措施来提高我们的安全性，并计划了中长期的额外安全措施。

虽然没有系统是100％安全的，但这种情况本不应该发生，对于这种泄漏我们深表歉意。」

公告传送门:www.freepik.com/blog/statement-on-security-incident-at-freepik-company/