از چند روز پیش کاربران این سایت به دریافت ایمیلی مبنی بر نقض امنیتی اشاره کرده بودند و حالا این کمپانی به صورت رسمی چنین موضوعی را تایید کرده است. این شرکت علاوه بر تایید چنین مشکل امنیتی، اعلام کرده که چنین ایمیلی طی چند روز گذشته برای کاربرانی که در این سایت ثبت نام کردهاند، ارسال شده است. Freepik یکی از محبوبترین سایتهای جهان با رتبه ۱۰۰ در الکسا است.
طبق بیانیه رسمی این شرکت، پس از اینکه هکر یا هکرها از یک آسیبپذیری تزریق SQL برای دسترسی به یکی از دیتابیسهای حاوی اطلاعات کاربران استفاده کردند، این رخنه امنیتی رخ میدهد. به گفته Freepik، هکر توانسته به نام کاربری و پسورد ۸.۳ میلیون کاربر قدیمی سایتهای Freepik و Flaticon دست پیدا کند.
این کمپانی درباره زمان این حمله اطلاعاتی منتشر نکرده و حتی نمیدانیم چه زمانی متوجه این رخنه امنیتی شده است. با این وجود اعلام کرده که پس از پی بردن به چنین مشکل امنیتی، آن را با مقامات در میان گذاشته و تحقیقات در این زمینه آغاز شده است.
Freepik به این موضوع اشاره کرده که پسورد تمام کاربران مربوط به حساب آنها نبوده و هکر تنها ایمیل آنها را برداشته است. به گفته این کمپانی، ۴.۵ میلیون کاربر برای ورود به حساب خود از حسابهای دیگر شامل گوگل، فیسبوک یا توییتر استفاده میکردند.
هکر توانسته به آدرس ایمیل و پسورد ۳.۷۷ میلیون کاربر دست پیدا کند که برای ۳.۵۵ میلیون کاربر، از «Bcrypt» برای هش کردن پسورد استفاده شده و برای سایر آنها، روش «MD5» مورد استفاده قرار گرفته است.
این کمپانی هم اکنون به تمام کاربرانی که حسابشان مورد حمله قرار گرفته، اطلاع میدهد. پسورد کاربرانی که با روش MD5 مورد حمله قرار گرفتهاند، حذف شده و در ایمیل از آنها درخواست میشود پسورد جدید انتخاب کنند. به کاربران که رمز حسابشان با استفاده از Bcrypt هش شده، توصیه میشود پسورد خود را تغییر دهند. کاربرانی که تنها ایمیل آنها افشا شده، یک ایمیل بدون نیاز به اقدام خاصی دریافت خواهند کرد.