这几天不少Freepik的用户想必都收到了一封邮件，被告知信息泄露建议修改密码。一般看到这样的官方邮件，在确认真实性之后不要犹豫，直接去修改密码或者注销账户。

8月21日，Freepik公司发布了官方公告，披露了一项数据泄露事件，但并没有明确说明事故发生的时间。黑客通过Freepik公司旗下三大网站之一Flaticon中SQL注入漏洞访问了数据库，获取了部分用户的信息。

通过事故分析，黑客可能已经获取了多达830万用户的电子邮件和密码哈希值。虽然无法直接用来登录，但仍然存在一定的风险性。

需要注意的是，其中有450万用户由于使用第三方联合登录，攻击者可以获得的数据只有电子邮件，并不存在哈希密码。

根据官方公告，还有377万用户的邮件地址和密码哈希值已经被黑客获取。其中多数密码通过Bcrypt加密，仍有22.9万早期用户的密码采用的是salted MD5。在事故发生后，Freepik已经将所有用户密码加密方式更新为Bcrypt。

为了安全起见，这22.9万用户的密码直接被重置，同时会收到一封设置新密码的邮件，其它用户也建议重新设置密码，尤其是采用弱密码的用户。

Freepik公司旗下拥有三个网站——freepic、flatiron以及slidesgo，提供大量免费的图形设计资源以及幻灯片模版，在全球拥有超过2000万用户。这次事故受影响的貌似只有freepic、flatiron，slidesgo的数据并未受到牵连。

我平时也会在这个网站去寻找一些海报素材，在事故发生后，我同样收到了官方的提醒邮件，如果你的密码习惯保存在1password中，同样也会出现「密码已泄露」的提醒。

Freepik公司表示已经联系一流机构对安全问题进行全面审查，会采取一些重要措施提升安全性。对于事故中受影响的账户，会进行定期检查，一旦发现网络上出现与此次泄露数据匹配的凭据，将直接禁用密码并通知所有者需要更新其凭据。

最后，个人建议所有8月21日之前注册的Freepik账户及时更改一次密码，尽量使用复杂度较高的密码。日常设置密码也需要养成不同账号使用不同密码的习惯。