Os invasores acessaram 8,3 milhões de endereços de e-mail e senhas de usuários
A ESET, empresa líder em detecção proativa de ameaças, analisa o roubo de milhões de senhas do Freepik, serviço que oferece um grande número de recursos para quem trabalha principalmente no mundo gráfico, como fotografias, vetores ou ilustrações. O site registra milhões de visitas mensais e downloads. Em nota divulgada pela empresa, foi confirmado um ataque que afetou usuários do serviço Freepik e também do Flaticon.
Por meio de um ataque de injeção de SQL, cujo objetivo é comprometer os servidores, os cibercriminosos conseguiram roubar os endereços de e-mail de 8,3 milhões de usuários e hash de senhas de 3,77 milhões de pessoas que utilizam o Flaticon. Desses, mais de 3,5 milhões são criptografados com bcrypt (um algoritmo que passou a ser usado para todas as senhas), e cerca de 229 mil são criptografados com MD5, explicou a empresa.
Em alguns casos, o Freepik cancelou as senhas dos usuários e enviou um e-mail solicitando a troca da senha por uma nova e a modificação em todos os serviços em que a mesma senha foi utilizada. Em outros, foi enviado um e-mail sugerindo a modificação da senha, principalmente se for uma senha fraca. No caso de usuários que foram afetados pelo vazamento de seu endereço de e-mail, houve a notificação do incidente, mas nenhuma ação especial foi tomada.
Por outro lado, a empresa garante que faz a verificação regularmente para saber se os endereços de e-mail e senhas vazados correspondem aos usados pelos usuários do Freepik ou Flaticon para cancelar o acesso e notificar o proprietário da conta para modificar suas credenciais de login. Acrescenta, ainda, que, como consequência do incidente, foi feita a consulta de serviços externos para revisão das medidas de segurança que a empresa vem implementando.
“Para descobrir se a senha que você usa vazou em uma violação de segurança, recomendamos visitar o serviço HaveIBeenPwned, que contém um extenso banco de dados de empresas que sofreram incidentes de segurança que resultaram no vazamento de credenciais de usuário. Da mesma forma, na ESET, aconselhamos manter os sistemas atualizados, ter uma solução de segurança em todos os dispositivos e estar atento às últimas ameaças ou incidentes de segurança para proteger a informação na web e desfrutar da internet com segurança”, explica Luis Lubeck, especialista em segurança da informação da ESET América Latina.
Claudia Carla OnLine 