Mais de 8 milhões de usuários da Freepik Company (Freepik e Flaticon) tiveram seus dados de e-mail e senha vazados. A informação foi confirmada pelo Grupo no último dia 21 e o roubo está sendo analisado pela Eset, empresa líder em detecção proativa de ameaças. A Companhia enviou notificações aos clientes por e-mail para a mudança de chaves de segurança, entre outras medidas.
A invasão ocorreu por meio de uma injeção de SQL que comprometeu os servidores. Desta forma, os criminosos afetaram não só os endereços de e-mail de 8,3 milhões de clientes, mas também as senhas de 3,7 milhões de pessoas que usam o Flaticon.
Segundo a empresa, destes 3,7 milhões de acessos afetados, 3,5 milhões das senhas eram criptografadas com bcrypt. As outras 229 mil pessoas possuíam chaves de segurança criptografadas com MD5. Ambos métodos são baseado em um algoritmo de tipo hash, justamente para senhas. Mas nem a técnica impediu o vazamento de dados.
Usuários do Freepik tiveram e-mails e senhas violados. Crime está sendo analisado por empresa especializada. Créditos: Rawpixel.com / Shutterstock
Medidas
Depois de identificar a invasão, a Freepik enviou notificações aos seus clientes por meio de e-mail. No conteúdo, orientações foram repassadas com o objetivo de garantir a retomada de acesso. Para alguns clientes, a recomendação foi a mudança de senha, visto o cancelamento da primeira. Em outros casos, a Companhia pediu a troca de senha pelo fato da anterior ser fraca. Em uma terceira situação, onde o usuário teve seu endereço eletrônico e senha afetados, foi realizada apenas notificação do incidente via e-mail, mas ainda nenhuma ação especial foi tomada por parte do Grupo.
O que diz a Freepik
A Freepik Company, que oferece produtos para quem trabalha no mundo gráfico, pediu desculpas pelo incidente e garantiu realizar constantemente verificações que podem indicar vazamento de dados, sejam e-mails ou senhas, de seus clientes. Ainda afirmou que quando invasões são identificadas, há o imediato cancelamento do acesso, bem como a notificação ao usuário, sendo necessário que ele altere seus credenciais. A empresa ainda destacou que logo após o incidente no mês passado, procurou por serviços externos para promover a revisão das medidas de segurança adotadas pelo Grupo.
O que diz a Eset
A Eset tem analisado o caso e aproveitou a ocasião para dar orientações neste sentido. Primeiro, a empresa destaca que é possível saber se seus dados foram ou não violados por meio do serviço Have I Been Pwned. O site funciona como uma espécie de banco de dados onde se pode encontrar várias empresas que sofreram ataques e tiveram informações de seus clientes expostas.
Eset afirma que há meios de tentar evitar invasões como a ocorrida com a Freepik. Créditos: Pe3k / Shutterstock
A segunda recomendação é manter sistemas atualizados e ter uma efetiva solução de segurança em todos os dispositivos. “Também é importante estar atento às últimas ameaçadas ou incidentes de segurança para proteger a informação na web e desfrutar da internet com segurança’, afirmou Luis Lubeck, especialista em segurança da informação da Eset América Latina.
Fonte: We Live Security e Freepik