Comunicado sobre incidente de seguridad de Freepik Company

Freepik Company ha sufrido recientemente una brecha de seguridad de la que los usuarios ya han sido informados. Este incidente afecta principalmente a los usuarios de Freepik y Flaticon y el ataque se produjo mediante inyección de SQL en Flaticon, lo que permitió al atacante acceder a algunos datos de los usuarios de nuestra base de datos.

Inmediatamente después de conocer el ataque, informamos a las autoridades competentes sobre la brecha de seguridad. Tras nuestro análisis forense del incidente, pudimos detectar que el atacante extrajo el email y, en los casos en los que pudo, la contraseña en hash de 8,3 millones de los usuarios más antiguos. Como aclaración, señalar que el hash de la contraseña no es la contraseña en sí, por lo que el atacante no puede acceder a las cuentas.

De estos 8,3 millones de usuarios, 4,5 millones no tenían contraseña en forma hash porque utilizaban exclusivamente inicios de sesión federados (con Google, Facebook y/o Twitter), por lo que el atacante solo ha tenido a acceso a los emails de estos usuarios.

Con respecto a los 3,77 millones de usuarios restantes, el atacante ha tenido acceso a su email y a su contraseña en hash. El método para cifrar el hash de la contraseña es bcrypt para 3,55 millones de esos usuarios, mientras que para los 229 mil restantes se ha empleado el método MD5 salado o salted. Actualmente, se han actualizado los métodos hash y las contraseñas de todos nuestros usuarios están cifradas mediante bcrypt.

En el caso de aquellos usuarios cuyas contraseñas estaban cifradas según el método MD5 salado, hemos cancelado sus contraseñas y les hemos enviado un email con los pasos a seguir para cambiar su contraseña de manera urgente, sobre todo si usaban esa misma contraseña para otras páginas web (una práctica que desaconsejamos encarecidamente). Por su parte, los usuarios con hash de contraseñas mediante bcrypt han recibido un email donde les sugerimos que cambien la contraseña, sobre todo si es débil, ya es que estas son más fáciles de adivinar. También hemos notificado a los usuarios de los que solo se han filtrado el correo electrónico, aunque no se requiere ninguna acción especial por su parte.  

Puedes verificar si tu email y/o contraseña se han visto comprometidos a través del siguiente enlace del proyecto Have I Been Pwned: https://haveibeenpwned.com/

Revisamos regularmente los correos electrónicos y las contraseñas filtradas en la web y, si encontramos que coinciden con las credenciales de cualquier usuario en Freepik o Flaticon, deshabilitamos la contraseña y notificamos al propietario para que actualice sus credenciales.

Debido a este incidente, hemos ampliado nuestro trabajo con reconocidos asesores de seguridad externos y hemos revisado exhaustivamente nuestras medidas de seguridad, tanto internas como externas. De hecho, ya hemos implementado algunas mejoras importantes a corto plazo para aumentar la seguridad, y hemos planeado medidas de seguridad adicionales a medio y largo plazo.

Es cierto que ningún sistema es 100% seguro, sin embargo, esta situación no debería haber ocurrido y nos disculpamos por este incidente de seguridad.