Site de fotos gratuitas, Freepik divulga vazamento de dados de 8.3 milhões usuários

Freepik, um site dedicado a fornecer acesso a fotos gratuitas de alta qualidade e gráficos de design, divulgou hoje uma grande violação de segurança.

A empresa tornou isso oficial depois que os usuários começaram a reclamar nas redes sociais esta semana sobre o recebimento de e-mails de notificação de violação de aparência suspeita em suas caixas de entrada.

A ZDNet entrou em contato  com a Freepik Company na quinta-feira e, embora não tenhamos recebido resposta antes da publicação deste artigo, a empresa divulgou formalmente uma violação de segurança hoje, confirmando a autenticidade dos e-mails que tem enviado a usuários registrados nos últimos dias.

HACKER USOU UMA INJEÇÃO DE SQL PARA ENTRAR

De acordo com o comunicado oficial da empresa  , a violação de segurança ocorreu depois que um hacker (ou hackers) usou uma   vulnerabilidade de injeção de SQL para obter acesso a um de seus bancos de dados que armazenava dados de usuários.

Freepik disse que o hacker obteve nomes de usuários e senhas para os 8,3 milhões de usuários mais antigos registrados em seus  sites Freepik e Flaticon .

Freepik não disse quando a violação ocorreu ou quando soube disso. No entanto, a empresa afirma que notificou as autoridades assim que soube do incidente e começou a investigar a violação e o que o hacker havia acessado.

MILHÕES DE HASHES DE SENHA FORAM ROUBADOS

Sobre o que foi levado, Freepik disse que nem todos os usuários tinham senhas associadas às suas contas, e o hacker só levou e-mails de usuários para alguns.

A empresa estima esse número em 4,5 milhões, representando usuários que usaram logins federados (Google, Facebook ou Twitter) para fazer login em suas contas.

“Para os 3,77 milhões de usuários restantes, o invasor obteve seu endereço de e-mail e um hash de sua senha”, acrescentou a empresa. “Para 3,55 milhões desses usuários, o método de hash da senha é bcrypt, e para os 229 mil usuários restantes o método era MD5 com salt. Desde então, atualizamos o hash de todos os usuários para bcrypt.”

NO PROCESSO DE NOTIFICAÇÃO DE USUÁRIOS

A empresa disse que está agora em processo de notificar todos os usuários afetados com e-mails personalizados, dependendo do que foi levado. Esses e-mails estão indo para os usuários do Freepik e Flaticon, dependendo do serviço em que os usuários se cadastraram. Abaixo estão algumas dessas mensagens, conforme recebemos de nossos leitores.

“Aqueles que tiveram uma senha criptografada com salted MD5 tiveram sua senha cancelada e receberam um e-mail pedindo que escolhessem uma nova senha e mudassem sua senha se ela fosse compartilhada com qualquer outro site (uma prática fortemente desencorajada),” Freepik disse. “Os usuários que tiveram sua senha criptografada com bcrypt receberam um e-mail sugerindo que mudassem a senha, especialmente se fosse uma senha fácil de adivinhar. Os usuários que apenas tiveram seu e-mail vazado foram notificados, mas nenhuma ação especial é necessária deles.”

O Freepik é um dos sites mais populares da atualidade, atualmente classificado  em 97º  na lista dos 100 melhores sites do Alexa. Flaticon não está muito atrás, classificado  em 668 .

Quando a EQT adquiriu a Freepik Company no final de maio deste ano, a empresa afirmou que o serviço Freepik tinha uma comunidade de  mais de 20 milhões de usuários registrados .

Os usuários registrados no Slidesgo, outro site da Freepik Company, não parecem ter sido afetados.

Fonte: https://www.zdnet.com/article/free-photos-graphics-site-freepik-discloses-data-breach-impacting-8-3m-users/