Freepik é um conhecido serviço que oferece diversos recursos para quem trabalha com o mundo gráfico, como fotos, vetores ou ilustrações. Atualmente, o serviço registra milhões de visitas e downloads mensais. Em nota publicada na última sexta-feira (21), a empresa confirmou que foi vítima de um ataque que afetou usuários do serviço Freepik e também do Flaticon, outro serviço liderado pela empresa Freepik.
Por meio de um ataque de injeção de SQL no site do Flaticon, os cibercriminosos conseguiram roubar os endereços de e-mail de 8,3 milhões de usuários e as senhas hasheadas de 3,77 milhões desses usuários, dos quais mais de 3,5 milhões estão criptografadas com bcrypt (algoritmo que começou a ser usado para todas as senhas), enquanto cerca de 229 mil são criptografadas com MD5, explicou a empresa.
No caso dos usuários que tiveram suas senhas hasheadas com salt usando o algoritmo MD5, que pode ser quebrado facilmente, suas chaves foram canceladas e eles receberam um e-mail solicitando a troca da senha por uma nova e a modificação da mesma em todos os serviços em que foi usada. Os usuários que tiveram suas senhas criptografadas por meio do uso de bcrypt receberam um e-mail da empresa sugerindo a modificação da chave, principalmente para os casos de uso de senhas fracas. No caso dos usuários que foram afetados pelo vazamento dos endereços de e-mail, a empresa informou a todos sobre o incidente, mas não solicitou qualquer ação em especial.
Leia também: Saiba o que é um ataque de força bruta e como funciona
A empresa também garante que verifica regularmente na web se os endereços de e-mail e senhas vazados correspondem com os que são usados por algum dos usuários do Freepik ou do Flaticon - o intuito é cancelar o acesso e notificar o dono da conta para que altere suas credenciais. A empresa destaca que, como consequência do incidente, consultou serviços externos para rever as medidas de segurança internas e externas que vêm sendo implementadas.
Para saber se suas senhas foram vazadas em alguma brecha de segurança, acesse o serviço HaveIBeenPwned, que contém um extenso banco de dados de empresas que sofreram incidentes de segurança como consequência de vazamentos de credenciais de usuários.
Leia também: O que fazer se alguma senha sua vazou em uma brecha de segurança
Créditos da imagem: Freepik