Se han expuesto correos electrónicos y contraseñas de millones de usuarios de Flaticon y Freepik
Puede aprender mucho sobre la actitud de una empresa hacia la seguridad después de una violación de datos. Puede ver cómo lo manejó en el pasado, cómo lo está manejando en este momento y qué tan lejos en el futuro proyecta su mirada. Lamentablemente, las empresas son violadas prácticamente todos los días y tenemos muchos ejemplos que nos ayudan a comparar y contrastar las diferentes reacciones de diferentes organizaciones. Freepik, la compañía detrás de Freepik y Flaticon, es el último servicio en línea para revelar un incidente de ciberseguridad, y ahora veremos qué tipo de conclusiones podemos sacar del evento.
Table of Contents
Los piratas informáticos roban información sobre 8,3 millones de usuarios de Freepik
El anuncio se produjo el sábado y ya se envió por correo electrónico a los 8,3 millones de usuarios afectados. Según él, los piratas informáticos violaron el sitio web de Flaticon y consiguieron una base de datos que contenía registros sobre las primeras 8,3 millones de cuentas registradas en Flaticon.com y Freepik.com. 4,5 millones de los registros contenían solo direcciones de correo electrónico porque los propietarios de las cuentas habían utilizado sus perfiles de Facebook, Twitter o Google para iniciar sesión. En los 3,77 millones de registros restantes, los piratas informáticos también encontraron hashes de contraseña. Doscientas veintinueve mil de las contraseñas afectadas fueron hash y saladas con MD5, y el resto fue protegido por bcrypt.
Freepik cometió algunos errores en el pasado
Ahora es obvio que cuando crea una cuenta en uno de los sitios web de Freepik, automáticamente crea una cuenta en el otro también, pero cuando revisa los formularios de registro, verá que esto no está muy claro, lo cual es un error. Lamentablemente, no es el único.
Podemos deducir de la declaración que al principio, Freepik estaba procesando las contraseñas de los usuarios con MD5, un algoritmo que es trivialmente fácil de descifrar en estos días. Aparentemente, a medida que crecía la popularidad de las plataformas, la empresa se dio cuenta de que necesitaba mejorar su seguridad y cambió a bcrypt. Por ello, merece una palmada en la espalda. Freepik no pensó en proteger a los propietarios de las primeras 229 mil cuentas, sin embargo, y esto no es algo bueno.
Tampoco lo es el hecho de que los piratas informáticos irrumpieron mediante una inyección SQL. Estos ataques se consideran bastante antiguos ahora, y proteger su sitio web contra ellos no es realmente tan difícil. De hecho, algunos expertos llegan a decir que ser vulnerable a las inyecciones de SQL en 2020 es completamente inaceptable.
En términos de divulgación, Freepik lo hizo mucho mejor que las muchas víctimas de violación de datos que intentan restar importancia al incidente. Esta vez, tenemos una comprensión clara de lo que sucedió exactamente y lo que los usuarios afectados deben hacer. El único problema que podemos encontrar con la divulgación de Freepik es el hecho de que no indicó cuándo ocurrió exactamente la infracción.
Con suerte, Freepik intentará hacerlo mejor en el futuro
El daño asociado con las filtraciones de datos es inevitable, pero si una empresa realmente quiere salvar la cara, debe mostrar a los usuarios que se ha dado cuenta de lo que sucedió y ha aprendido sus lecciones. Freepik lo ha hecho bastante bien en ese sentido.
Las contraseñas filtradas que fueron hash con MD5 se han restablecido y ya no están activas. Los usuarios fueron informados al respecto y se les insta a elegir contraseñas nuevas y seguras. Aquellos cuyas credenciales fueron hash con bcrypt también son conscientes del incidente y se les aconseja que cambien sus contraseñas por precaución. Freepik también envió correos electrónicos a los usuarios que se registraron con sus cuentas de redes sociales. Deben estar atentos a correos electrónicos sospechosos y posibles ataques de phishing.
Más importante aún, Freepik dice que está implementando medidas para garantizar que, a partir de ahora, los piratas informáticos no puedan ingresar tan fácilmente. Con suerte, funcionarán.