TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Statement on Security Incident at Freepik Company

【公開情報】

◆Statement on Security Incident at Freepik Company (FreepikCompanyblog, 2020/08/21)
[フリーピック社におけるセキュリティインシデントに関する声明]
https://www.freepik.com/blog/statement-on-security-incident-at-freepik-company/


【翻訳(概要)】

先日、Freepik Companyのセキュリティ侵害が発生し、FreepikとFlaticonに影響を与えたことを、影響を受けたすべてのユーザーに通知しました。このセキュリティ侵害は、FlaticonのSQLインジェクションによるもので、攻撃者が当社のデータベースから一部のユーザーの情報を取得することができました。


私たちは直ちにこの違反について所轄官庁に通知し、私たちのフォレンジック分析では、攻撃者が電子メールと、利用可能な場合には、最も古い8.3Mユーザーのパスワードのハッシュを抽出したと判断しました。明確にするために、パスワードのハッシュはパスワードではなく、アカウントにログインするために使用することはできません。


これらの8.3Mユーザーのうち、4.5Mのユーザーは、(Google、Facebookおよび/またはTwitterとの)連携ログインのみを使用しており、攻撃者がこれらのユーザーから取得したデータはメールアドレスのみだったため、ハッシュ化されたパスワードを持っていませんでした。


塩漬けMD5でハッシュ化されたパスワードを持っていた人は、パスワードを取り消され、新しいパスワードを選択し、他のサイトで共有されている場合はパスワードを変更するように促すメールを受け取りました(これは強くお勧めできません)。bcryptでパスワードをハッシュ化されたユーザは、パスワードの変更を促すメールを受け取りました。電子メールが流出しただけのユーザーには通知が届きましたが、特別な措置は必要ありません。


あなたのメールと/またはパスワードが漏洩したかどうかは、Have I Been Pwnedという素晴らしいプロジェクトで確認することができます: https://haveibeenpwned.com/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020