Freepik SQL 注入漏洞攻击，800 万用户遭受数据泄露

热门图片网站Freepik披露了一起影响超过800万用户的重大数据泄露事件。

该事件还影响了姊妹网站Flaticon的用户，该网站声称拥有世界上最大的免费图标数据库。

在周末发布的一份泄露通知中，该公司称，一名攻击者泄露了Flaticon网站的SQL注入漏洞，该漏洞允许他们访问数据库中的用户信息。

在830万受影响的用户中，他们的电子邮件地址全部被盗，近380万用户的网站密码也被盗。

大多数（360万）使用bcrypt加密，而229,000被不太安全的MD5保护。后者已升级到bcrypt。

其余的450万用户使用其联合的Google，Facebook或Twitter账号登录的，因此，黑客仅逃脱了他们的电子邮件。但是，这些仍可用于制作请求密码确认的网络钓鱼电子邮件。

该公司似乎迅速采取了行动来缓解这一问题，声称会定期检查客户在网上的电子邮件和密码，并在发现问题时通知受影响的客户。

“那些用 salted MD5 哈希密码的用户将被取消，并收到一封电子邮件，敦促他们选择新密码，并在与任何其他网站共享密码的情况下更改密码（强烈建议不要这样做），” Freepik解释说。

“使用bcrypt加密密码的用户会收到一封电子邮件，提示他们更改密码，特别是在密码容易猜到的情况下。仅通知了电子邮件泄漏的用户，但无需采取任何特殊措施。”

K2网络安全首席技术官兼联合创始人Jayant Shukla认为，企业需要采取更多措施来减轻SQL注入攻击的风险，而SQL注入利用仍然是攻击者中最受欢迎的攻击之一。

“组织需要采取行动以更好地保护自己免受SQL漏洞的侵害：1）实施更好的编码实践以防止SQL注入； 2）在代码投入生产之前，对SQL注入漏洞进行更好的测试； 3）确保他们具有针对SQL的保护运行时注入攻击”，他说。