Hackers robaron 8.3 millones de credenciales de Freepik mediante inyección SQL
Freepik dice que hackers robaron correos electrónicos y hashes de contraseñas de hasta 8.3 millones de usuarios de Freepik y Flaticon. El robo es producto de un ataque de inyección SQL contra el sitio web Flaticon de la compañía.
En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.
Freepik es la compañía detrás de Freepik (uno de los sitios de recursos gráficos en línea más grandes del mundo). Flaticon (una plataforma de base de datos de iconos) es otro de los sitios de la empresa. Flaticon tiene un total de 18 millones de usuarios únicos mensuales, 50 millones de visitas mensuales y 100 millones de descargas mensuales.
Los atacantes detrás del incidente de seguridad de Freepik pudieron robar los correos electrónicos y los hashes de contraseñas de los usuarios más antiguos. Robaron específicamente 8.3 millones de registros.
“Para aclarar, el hash de la contraseña no es la contraseña y no se puede utilizar para iniciar sesión en tu cuenta”, agregó Freepik.
229 mil contraseñas restablecidas después de la infracción
“De estos 8.3 millones de usuarios, 4.5 millones no tenían contraseña hash porque utilizaban inicios de sesión exclusivamente asociados (con Google, Facebook y/o Twitter). Es decir, que, los únicos datos que el atacante obtuvo de estos usuarios fue su dirección de correo electrónico”, agregó la empresa.
Los atacantes recolectaron y extrajeron los hashes bcrypt de sus direcciones de correo electrónico y contraseñas de 3.55 millones de usuarios. Mientras que para aproximadamente 229,000 usuarios los atacantes obtuvieron hash de contraseñas MD5.
Cabe destacar que las contraseñas con hash utilizando MD5 salteado son fáciles de descifrar. Por ello, Freepik restableció las cuentas de los 229,000 usuarios y les envió un correo electrónico para que cambiaran sus contraseñas lo antes posible.
Para los 3.55 millones de usuarios con contraseñas hash utilizando bcrypt, Freepik no tomó ninguna otra medida. Freepik simplemente les notificó por correo electrónico para que actualizasen sus credenciales.
Freepik ahora usa bcrypt para cifrar todas las contraseñas de los usuarios
“Aquellos que tenían una contraseña hash con MD5 se les canceló su contraseña y recibieron un correo electrónico para instarlos a elegir una nueva contraseña. También se les informó que debían cambiar su contraseña si la utilizan con cualquier otro sitio (una práctica que se desaconseja enfáticamente)” .
“Los usuarios que obtuvieron el hash de su contraseña con bcrypt recibieron un correo electrónico que les sugería que cambiaran su contraseña. Esto especialmente si era una contraseña fácil de adivinar. Se notificó a los usuarios a los que solo se les filtró su correo electrónico, pero no se les requiere ninguna acción especial”.
Notificación de Freepik
Freepik dice que, dado el incidente de la infracción de datos, está utilizando bcrypt para cifrar todas las contraseñas de los usuarios. Afirman que han contratado a expertos en seguridad externos para realizar una auditoría completa de las medidas de seguridad internas y externas.
Si deseas verificar si tus credenciales se han visto comprometidas en una violación de datos, puedes usar Have I Been Pwned. Esta es una enorme base de datos de cuentas filtradas después de cientos de infracciones de sitios.