Freepik: credenciales de más de 8 millones de usuarios es robada en incidente de seguridad

Se accedió a las direcciones de correo electrónico y los hashes de contraseñas en una brecha reciente que afectó a algunos de los usuarios más antiguos de la plataforma Freepik, sitio web  que brinda acceso a fotos de archivo y gráficos de diseño gratuitos.

En un comunicado, la compañía dijo que notificó inmediatamente a las autoridades sobre la violación, que se estima que afectó a 8.3 millones de usuarios de Freepik y su filial de recursos gráficos gratuitos Flaticon.

Freepik dijo que la violación de seguridad se debió a una inyección SQL en Flaticon que permitió a un atacante acceder a la información del usuario de la base de datos de la compañía.

La violación afectó a 8,3 millones de los usuarios más antiguos de la empresa, a cuyas direcciones de correo electrónico y hashes de contraseña extraídos se accedió. El hash de la contraseña no se puede utilizar para iniciar sesión en una cuenta de usuario, ya que no es una contraseña.

Brecha de datos de Freepik

La compañía indicó que: «De estos 8,3 millones de usuarios, 4,5 millones no tenían contraseña hash porque usaban inicios de sesión exclusivamente federados (con Google, Facebook y / o Twitter) y los únicos datos que el atacante obtuvo de estos usuarios fue su dirección de correo electrónico».

A los 3,77 millones de usuarios restantes se les revelaron sus direcciones de correo electrónico y para 3,55 millones de estos usuarios, el método para codificar la contraseña utilizada por Freepik fue bcrypt, mientras que para los 229.000 usuarios restantes el método fue MD5. La compañía dijo que ahora ha actualizado el hash de todos los usuarios a bcrypt como resultado de la violación.

«Aquellos que tenían una contraseña hash con MD5, se les fue cancelada y recibieron un correo electrónico para instarlos a elegir una nueva contraseña y cambiar su contraseña «, dijo la compañía.

“Los usuarios que obtuvieron el hash de su contraseña con bcrypt recibieron un correo electrónico que les sugería que cambiaran su contraseña, especialmente si era una contraseña fácil de adivinar. Se notificó a los usuarios a los que solo se les filtró su correo electrónico, pero no se requiere ninguna acción especial de ellos «.

La compañía aconsejó a los usuarios que verifiquen si sus direcciones de correo electrónico o contraseñas se han visto comprometidas consultando HaveIBeenPwned.com.

Freepik también dijo que ha «ampliado enormemente» su compromiso con consultores de seguridad externos y ha emprendido una revisión completa de sus medidas de seguridad internas y externas.

A principios de este año, Freepik anunció que tiene una comunidad de 20 millones de usuarios registrados que cuentan con el apoyo de los 450 diseñadores gráficos independientes y colaboradores externos de la empresa.