Parece que más de 800.000 nombres de usuario, direcciones de correo electrónico y fechas de nacimiento fueron robadas de los foros online de Epic Games.
La compañía, famosa por haber desarrollado juegos populares como Unreal Tournament, Infinity Blade y Gears of War, dejó expuestos a miembros de su comunidad. Atacantes explotaron una vulnerabilidad conocida en una versión desactualizada del software vBulletin.
Como consecuencia, no solo se puso en riesgo la información personal de los individuos sino también, como reporta ZDNet, "su historial completo de publicaciones y comentarios incluyendo mensajes privados y otra actividad de los usuarios".
Se cree que cerca de medio millón de las cuentas comprometidas son de los foros de Unreal Engine. En su sitio web se publicó el siguiente comunicado:
Creemos que un incidente reciente en el foro de Unreal Engine y Unreal Tournament reveló direcciones de correo electrónico y otros datos ingresados, pero no contraseñas en ninguna forma, ni con sal, hash o en texto plano. Si bien los datos almacenados en las bases de datos de cuentas de vBulletin para estos foros fueron filtrados, las contraseñas de las cuentas de usuarios están almacenadas en otro lado. Estos foros siguen online y no es necesario restablecer contraseñas.
También creemos que un incidente en los foros de Infinity Blade, UDK, juegos anteriores de Unreal Tournament y los foros archivados de Gears of War revelaron direcciones de correo electrónico, contraseñas con sal y hash y otros datos ingresados. Si estuviste activo en estos foros después de julio 2015, recomendamos que cambies tu contraseña en cualquier sitio en que uses la misma.
No creemos que otros foros relacionados de Epic hayan sido afectados, incluyendo Paragon, Fortnite, Shadow Complex y SpyJinx.
Pedimos disculpas por las molestias que esto les causó a todos y haremos actualizaciones cuando sepamos más.
A pesar de que es un alivio que las contraseñas parezcan no haber sido comprometidas en la brecha en los foros de Unreal Engine y Unreal Tournament, todavía hay muchas formas en las que atacantes podrían explotar la información robada, incluyendo el envío de mensajes falsos a los correos filtrados, usando Ingeniería Social cuidadosamente diseñada para engañarlos.
Y según cómo suenan las noticias, los jugadores de Infinity Blade, UDK, juegos anteriores de Unreal Tournament y Gears of War pueden no haber sido tan afortunados en lo que a contraseñas seguras se refiere, por lo que sería prudente asegurarse de que no las están reutilizando en múltiples sitios.
Lo más vergonzoso para Epic Games es que pasó poco más de un año desde que sufrió el último gran ataque a sus foros online.
El problema hoy es el mismo que en ese entonces. Los foros de Epic usan una versión lamentablemente desactualizada del software vBulletin, con vulnerabilidades a inyección SQL que los cibercriminales pueden explotar para robar información.
Sería lindo pensar que Epic Games aprendió de su mala experiencia el año pasado y aumentó la vigilancia para asegurarse de que vBulletin está parcheado y actualizado, o cambió a una plataforma sin tantos problemas de seguridad.
Desafortunadamente, parece que eso no pasó.
Lo que significa que depende de los gamers hacer su mejor esfuerzo para defenderse. Lo bueno es que gamers profesionales ya indicaron cómo hacerlo.
Tu primer paso debería ser, obviamente, usar contraseñas únicas y difíciles de adivinar para cada cuenta online que tengas. Esto ayuda a protegerte de ataques que aprovechen la reutilización de contraseñas.
Pero lo que realmente necesitamos es que más empresas se despierten antes de verse envueltas en brechas de seguridad.
Si no puedes demostrar que estás tomando las medidas adecuadas para proteger a tus usuarios, como mantener el software del foro actualizado para defenderlo de las últimas vulnerabilidades explotadas por los atacantes, no te sorprendas si tus usuarios deciden irse a otro lado.