This post is also available in: Português
Quem precisa de fotos profissionais de forma gratuita, tem no FreePik um grande aliado. O site é tão conhecido que consta na lista Alexa Rank dos 100 mais acessados do mundo. Contudo, tamanha relevância acabou atraindo os olhares de cibercriminosos.
Os desenvolvedores do site emitiram um comunicado oficial sobre uma grande violação de segurança. Essa informação veio à tona depois que os usuários começaram a reclamar nas redes sociais sobre o recebimento de e-mails do próprio FreePik, falando sobre supostas notificações de violação. O FreePik confirmou então que de fato está entrando em contato com os usuários para detalhar sobre a invasão.
A brecha
A violação de segurança ocorreu depois que os crackers usaram uma vulnerabilidade de injeção de SQL para obter acesso a um de seus bancos de dados, que armazenava informações das pessoas cadastradas.
Os invasores conseguiram logins e senhas de 8,3 milhões de usuários mais antigos registrados no Freepik e no Flaticon, um site associado ao grupo.
A empresa afirmou também que notificou as autoridades assim que soube do incidente, e começou a investigar a violação e tudo sobre o que os crackers haviam acessado.
O que foi levado
O Freepik disse que nem todos os usuários tinham senhas associadas aos seus perfis. Assim, em alguns casos, a única informação acessada foi a conta de e-mail cadastrada.
A empresa estima esse número em 4,5 milhões, representando usuários que usam acessos conjuntos (Google, Facebook ou Twitter) para fazer login em suas contas.
Nos 3,8 milhões de usuários restantes, o invasor obteve o endereço de e-mail e um hash da senha. Desses 3,8 milhões, em 3,5 milhões o método de hash da senha é bcrypt. Quanto aos 300 mil restantes, o método era o MD5. “Desde então, atualizamos o hash de todos os usuários para o bcrypt”, informou o comunicado.
A empresa disse que está agora notificando todos os usuários afetados com e-mails personalizados, dependendo do que foi levado. Aqueles com uma senha criptografada usando MD5, tiveram sua senha cancelada e receberam um e-mail pedindo que escolhessem uma nova. Se a senha antiga for usada também em outros serviços, algo totalmente desaconselhável, o ideal é que se troque nas outras plataformas também.
Nesse contexto, os usuários com senha criptografada via bcrypt também receberam um e-mail sugerindo que a mudassem, principalmente se fosse uma senha fácil de adivinhar. Já os usuários que tiveram apenas o seu e-mail vazado foram notificados com a informação de que nenhuma ação por parte deles é necessária.
A invasão surge 3 meses depois de o FreePik ser comprado pelo fundo investidor EQT. Na época, informações davam conta de que a plataforma tinha mais de 20 milhões de usuários. Ou seja, o ataque conseguiu acesso a cerca de um terço dos usuários – e mostra que nem mesmo os gigantes da internet estão a salvo.
Via: ZDNet.
This post is also available in: Português
