行业新闻与博客

受欢迎的股票图片网站 Freepik 披露了一项重大数据泄露事件，影响了超过 800 万客户。

该事件还影响了姊妹网站 Flaticon 的用户，该网站声称运行着全球最大的免费图标数据库。

在上周末的违规通知中，该公司声称攻击者破坏了 Flaticon 站点中的 SQL 注入漏洞，该漏洞使他们能够访问数据库中的用户信息。

在受影响的 830 万客户中，所有人都使用了电子邮件地址，并且近 380 万客户的哈希密码也被盗。

大多数（360 万）使用 bcrypt 加密，而 229,000 被不太安全的 MD5 保护。此后，后者已升级到 bcrypt。

其余的 450 万用户使用其联合的 Google，Facebook 或 Twitter 凭据登录，因此，黑客仅逃脱了他们的电子邮件。但是，这些仍可用于制作请求密码确认的网络钓鱼电子邮件。

该公司似乎确实采取了迅速的行动来缓解这一问题，声称定期检查最终出现在网络上的客户电子邮件和密码，并在发现受影响的客户时通知他们。

“那些密码用盐腌 MD5 散列的用户将被取消密码，并收到一封电子邮件，敦促他们选择新密码，并在与任何其他网站共享密码的情况下更改密码（强烈建议不要这样做），” Freepik 解释说。

“使用 bcrypt 加密密码的用户会收到一封电子邮件，提示他们更改密码，特别是在密码容易猜到的情况下。仅通知了电子邮件泄漏的用户，但没有采取任何特殊措施。”

K2 网络安全首席技术官兼联合创始人 Jayant Shukla  认为，企业需要采取更多措施来减轻 SQL 注入利用的风险，而 SQL 注入利用仍然是攻击者中最受欢迎的风险之一。

“组织需要采取行动以更好地保护自己免受 SQL 漏洞的侵害：1）实施更好的编码实践以防止 SQL 注入； 2）在代码投入生产之前，对 SQL 注入漏洞进行更好的测试； 3）确保他们具有针对 SQL 的保护运行时注入攻击”，他说。

本文由机器译制