【公開情報】
◆Statement on Security Incident at Freepik Company (FreepikCompanyblog, 2020/08/21)
[フリーピック社におけるセキュリティインシデントに関する声明]
https://www.freepik.com/blog/statement-on-security-incident-at-freepik-company/
【翻訳(概要)】
先日、Freepik Companyのセキュリティ侵害が発生し、FreepikとFlaticonに影響を与えたことを、影響を受けたすべてのユーザーに通知しました。このセキュリティ侵害は、FlaticonのSQLインジェクションによるもので、攻撃者が当社のデータベースから一部のユーザーの情報を取得することができました。
私たちは直ちにこの違反について所轄官庁に通知し、私たちのフォレンジック分析では、攻撃者が電子メールと、利用可能な場合には、最も古い8.3Mユーザーのパスワードのハッシュを抽出したと判断しました。明確にするために、パスワードのハッシュはパスワードではなく、アカウントにログインするために使用することはできません。
これらの8.3Mユーザーのうち、4.5Mのユーザーは、(Google、Facebookおよび/またはTwitterとの)連携ログインのみを使用しており、攻撃者がこれらのユーザーから取得したデータはメールアドレスのみだったため、ハッシュ化されたパスワードを持っていませんでした。
塩漬けMD5でハッシュ化されたパスワードを持っていた人は、パスワードを取り消され、新しいパスワードを選択し、他のサイトで共有されている場合はパスワードを変更するように促すメールを受け取りました(これは強くお勧めできません)。bcryptでパスワードをハッシュ化されたユーザは、パスワードの変更を促すメールを受け取りました。電子メールが流出しただけのユーザーには通知が届きましたが、特別な措置は必要ありません。
あなたのメールと/またはパスワードが漏洩したかどうかは、Have I Been Pwnedという素晴らしいプロジェクトで確認することができます: https://haveibeenpwned.com/