Freepik Company sufre robo de credenciales debido a inyección SQL
Freepik Company, compañía orientada a la búsqueda y compra-venta de recursos para diseñadores como fotografías, iconos o plantillas PSD, ha sufrido un incidente de seguridad que afectó a sus proyectos Freepik y Flaticon, según han publicado en un comunicado oficial.
El incidente de seguridad se originó debido a una inyección SQL en Flaticon, que permitió a un atacante obtener cierta información de los usuarios de su base de datos. El análisis forense realizado determinó que un atacante extrajo el correo electrónico y, cuando estaba disponible, el hash de la contraseña de los 8,3 millones de sus usuarios más antiguos.
Del total de afectados, se ha actualizado el hash de 3,55 millones que utilizaban el método bcrypt, y se obligó a resetear las contraseñas de 229.000 usuarios que empleaban MD5 en sus contraseñas.
Referencias:
- 21/08/2020 freepik.com Statement on Security Incident at Freepik Company
- 21/08/2020 bleepingcomputer.com Freepik data breach: Hackers stole 8.3M records via SQL injection
- 21/08/2020 businessinsider.es Freepik sufre un "incidente de seguridad" que compromete los correos y las contraseñas de 8 millones de sus usuarios
- 24/08/2020 databreachtoday.com Massive Freepik Data Breach Tied to SQL Injection Attack
- 24/08/2020 welivesecurity.com Freepik: credenciales de más de 8 millones de usuarios son robadas en incidente de seguridad