Existen muchas webs especializadas en imágenes de stock o gráficos de diseño, pero una de las más populares es Freepik, que ofrece un gran catálogo de fotografías gratuitas para los usuarios. Esta semana ha sufrido un fallo de seguridad de amplia magnitud, afectando a una gran cantidad de usuarios.
Concretamente, más de 8 millones de usuarios se han visto afectados. La firma lo ha hecho oficial a través de un comunicado en el que reconocen la brecha. Los usuarios han sido informados a través de la plataforma, y las quejas se sucedieron después de que se recibieran correos electrónicos de notificaciones al respecto.
Se ha confirmado así la autenticidad de los correos que se mandaron a los usuarios informándoles sobre el problema. Según la declaración oficial de Freepik, el incidente ha afectado a usuarios de esa misma plataforma y Flaticon mediante una inyuección de SQL en la segunda plataforma.
8 millones de usuarios
Según Freepik, esta inyección de SQL permitió al atacante acceder a datos de usuarios de su base de datos. Se informó a las autoridades "competentes" sobre la brecha y después de su análisis, se comprobó que el atacante extrajo el mail y la contraseña de 8.3 millones de usuarios, de los más antiguos de la plataforma. Este hash no es una contraseña como tal, por lo que no se pudo acceder a las cuentas, sino que se comprometieron los datos de la base.
De estos 8.3 millones de usuarios, unos 4.5 millones no tenían contraseña en forma de hash porque usaban casi exclusivamente inicios de sesión alternativos como Google, Facebook o Twitter, por lo que el único dato comprometido según Freepik ha sido los correos electrónicos de dichos usuarios.
Estos 3.77 millones de usuarios restantes sí han sufrido una vulnerabilidad en su email y su contraseña en hash. En la actualidad, se han actualizado los métodos hash y las contraseñas de todos los usuarios mediante bcrypt, por lo que los usuarios afectados en esta instancia deberían estar tranquilos.
3.55 millones de usuarios usaron este método para encriptar sus contraseñas, pero los 229.000 restantes usaron el métoido MD5. Las contraseñas MD5 cifradas de esta forma han sido canceladas y se les ha enviado un correo a los usuarios afectados para cambiar su contraseña de forma urgente. En el caso de bcrypt, Freepik mandó un correo en el que se sugería que se cambiara las contraseñas de las cuentas afectadas.
Uno de los sitios web más importantes
Para entender la magnitud del problema, hay que entender la envergadura de Freepik. Este es uno de los sitios de Internet más populares; según ZDNet, Freepik está en la lista de los 100 mejores sitios para Alexa (en el puesto 97) y Flaticon no se queda atrás, en el puesto 668.
Freepik ha sido históricamente uno de los sitios más importantes de descarga de imágenes gratuitas. EQT adquirió la compañía en mayo de este año, y desde entonces la firma anunció que el servicio tenía una comunidad de más de 20 millones de usuarios registrados.