Freepik revela violación de datos que afecta a 8.3 millones de usuarios

Freepik, un sitio web popular de acceso a imágenes y gráficos de diseño gratuitos, reveló hoy que sufrió una violación de seguridad.

La compañía hizo oficial el hecho luego de que los usuarios comenzaran a quejarse en redes sociales sobre correos electrónicos de notificación de incumplimiento de aspecto sospechoso.

Según el aviso de la compañía, la violación de seguridad se produjo después de que un hacker utilizara una vulnerabilidad de inyección SQL para obtener acceso a una de sus bases de datos que almacena datos de los usuarios.

Freepik informó que el hacker obtuvo nombres de usuario y contraseñas para 8.3 millones de usuarios registrados en sus sitios Freepik y Flaticon.

La compañía no dijo cuándo se produjo el ataque ni cuándo se enteró. Sin embargo, dijo que notificó a las autoridades tan pronto como supo del incidente y comenzó a investigar el hecho.

Freepik asegura que no todos los usuarios tenían contraseñas asociadas con sus cuentas, y el hacker solo tomó los correos electrónicos de algunos usuarios.

La empresa sitúa este número en 4.5 millones, lo que representa a los usuarios que utilizaron inicios de sesión federados (Google, Facebook o Twitter).

«Para los 3.77 millones de usuarios restantes, el atacante obtuvo su dirección de correo electrónico y un hash de su contraseña. Para 3.55 millones de estos usuarios, el método para codificar la contraseña es bcrypt, y para los 229 mil usuarios restantes, el método fue MD5. Desde entonces, hemos actualizado el hash de todos los usuarios bcrypt», dijo la compañía.

También mencionó que está en proceso de notificación a los usuarios afectados, mediante correos electrónicos personalizados, dependiendo de lo que se haya tomado. Estos correos se envían a los usuarios de Freepik y Flaticon, según el servicio en el que se hayan registrado.

«Aquellos que tenían una contraseña hash con salt MD5 obtuvieron su contraseña cancelada y recibieron un correo electrónico para instarlos a elegir una nueva contraseña y cambiar la anterior en caso de compartirla con cualquier otro sitio. Los usuarios que obtuvieron el hash de su contraseña con bcrypt recibieron un correo electrónico que les sugería que cambiaran su contraseña, especialmente si era una contraseña fácil de adivinar. Se notificó a los usuarios a los que solo se les filtró su correo electrónico, pero no se requiere ninguna acción especial», dijo Freepik.

Freepik es uno de los sitios más populares de Internet actualmente, y ocupa el puesto 97 en la lista de los 100 mejores sitios de Alexa. Flaticon por otro lado, ocupa el puesto 668.

Cuando EQT adquirió Freepik Company a fines de mayo de este año, la compañía afirmó que el servicio Freepik tiene una comunidad de más de 20 millones de usuarios registrados.

Los usuarios registrados en Slidesgo, otro de los sitios web de Freepik Company, parecen no haber resultado afectados.