Freepik es un servicio muy conocido que ofrece una gran cantidad de recursos para quienes se desempeñan principalmente en el mundo gráfico, como fotografías, vectores o ilustraciones, que registra millones de visitas y descargas mensuales. En un comunicado publicado el pasado viernes, la compañía confirmó que fue víctima de un ataque que afectó a los usuarios del servicio Freepik y también de Flaticon, otro servicio liderado por la compañía Freepik
Mediante un ataque de inyección SQL en el sitio de Flaticon, los cibercriminales lograron robar la dirección de correo de 8.3 millones de usuarios y contraseñas hasheadas de 3.77 millones de esos usuarios, de las cuales más de 3.5 millones están cifradas con bcrypt (algoritmo que comenzó a usar para todas las contraseñas), mientras que cerca de 229 mil lo están con MD5, explico la empresa.
En el caso de los usuarios cuyas contraseñas fueron hasheadas con salto utilizando el algoritmo MD5, que es más fácil de romper, sus claves fueron canceladas y recibieron un correo solicitando cambiar su contraseña por una nueva y modificar la misma en todos los servicio en los que se utilizó la misma clave. En el caso de los usuarios cuya contraseña fue hasheada utilizando bcrypt, recibieron un correo sugiriendo modificar la clave, sobre todo si se trata de una contraseña poco segura. En el caso de los usuarios que se vieron afectados por la filtración de su dirección de correo, los mismos fueron notificados del incidente, pero no se solicitó que realicen una acción especial.
Lectura relacionada: Qué es un ataque de fuerza bruta y cómo funciona
La compañía asegura también que de manera regular verifica en la web si las direcciones de correo y las contraseñas filtradas coinciden con las que utiliza alguno de los usuarios de Freepik o Flaticon para proceder a cancelar el acceso y notificar al propietario de la cuenta para que cambie sus credenciales de acceso. Asimismo, agregan que a raíz del incidente han consultado a servicios externos para hacer una revisión de las medidas de seguridad internas y externas la compañía ha estado implementando.
Para saber si la contraseña que utilizas fue filtrada en alguna brecha de seguridad, recomendamos visitar el servicio HaveIBeenPwned, el cual contiene una base de datos extensa de compañías que sufrieron incidentes de seguridad que derivaron en la filtración de credenciales de los usuarios.
Quizás te interese: Qué hacer si tu contraseña se filtró en una brecha de seguridad
Créditos imagen: Freepik