El creador de 'Magic: The Gathering' advierte a los usuarios que cambien las contraseñas después de una violación masiva de datos
Según Wikipedia, a partir de 2015, unos 20 millones de personas jugaron Magic: The Gathering (MTG). Afortunadamente, no todos tenían cuentas con un sitio web dedicado al exitoso juego. Sin embargo, un poco más de 450 mil de ellos lo hicieron, y ahora, algunos de sus datos personales se han filtrado en línea.
Table of Contents
Otra base de datos quedó inactiva en un depósito de almacenamiento de AWS
La filtración fue encontrada por Fidus Information Security, la misma compañía que recientemente descubrió una falla de seguridad en el nuevo rosario inteligente del Vaticano. Esta vez, sin embargo, los expertos de Fidus no necesitaron realizar ingeniería inversa en ningún dispositivo ni examinar las respuestas de la API.
Todo lo que tenían que hacer era buscar en un depósito de almacenamiento de Amazon Web Services (AWS) que no estuviera protegido por una contraseña. En su interior, encontraron un poco más de 452 mil registros de usuarios que contenían nombres, nombres de usuario, direcciones de correo electrónico, contraseñas hash y saladas, y fechas de creación de cuentas.
La base de datos se cargó por primera vez al cubo desprotegido a principios de septiembre, y aparentemente permaneció en línea durante los próximos dos meses. Puede que esto no parezca mucho, pero si fuera suficiente para que los investigadores de Fidus lo encontraran, también podría haber sido suficiente para que los ciberdelincuentes lo encontraran.
El editor de MTG comete un error de configuración muy común
Después de una breve investigación, los investigadores de Fidus se dieron cuenta de que la base de datos pertenecía a Wizards of the Coast, el editor de juegos con sede en Washington que lanzó Magic: The Gathering en 1993. Como suele ser el caso, alguien olvidó configurar correctamente el almacenamiento ofensivo de AWS antes de cargar el archivo de la base de datos de respaldo, que, por cierto, también contenía unos 500 registros pertenecientes a empleados de Wizards of the Coast.
Un portavoz del editor del juego le dijo a TechCrunch que no tienen evidencia de ningún uso malicioso de los datos. Los usuarios afectados serán notificados y se les pedirá que cambien sus contraseñas, por si acaso. De acuerdo con GDPR, los órganos reguladores en la UE también han sido informados de la fuga.
Las buenas noticias
No está claro de dónde vino la base de datos. Lo único que sabemos con certeza es que el sitio web al que pertenecía era propiedad de Wizards of the Coast y que los datos son bastante antiguos. Zack Whittaker de TechCrunch revisó una muestra de la fuga e informó que muchas de las cuentas datan de 2012, aunque también hay algunas de 2018. Wizards of the Coast le dijo a Whittaker que el sitio web ahora ha sido "dado de baja".
Como ya mencionamos, las contraseñas fueron codificadas y saladas, lo que también es algo bueno. El algoritmo de hash que se utilizó sigue siendo desconocido, pero Zack Whittaker dice que descifrar los datos sería "difícil". Teniendo en cuenta el número relativamente pequeño de cuentas afectadas y su edad, es poco probable que los piratas informáticos hagan demasiado esfuerzo para tratar de revertir los hashes.
La noticia no tan buena
Dicho todo esto, la fuga no debe subestimarse. La base de datos contenía una buena cantidad de información personal que no estaba encriptada o protegida de ninguna manera. Además, cualquiera que acceda a los nombres, nombres de usuario y correos electrónicos en la base de datos sabrá que las personas detrás de ellos están interesadas en MTG, lo que podría ser una gran ventaja si están tratando de organizar un ataque de spear phishing bien diseñado socialmente. Wizards of the Coast pronto debería notificarse a todas las personas afectadas, y solo podemos esperar que los usuarios obtengan toda la información que necesitan para mantener bajo control el daño asociado con la fuga. La cuestión es que las víctimas deberían haber sido notificadas hace mucho tiempo.
Los investigadores de Fidus intentaron revelar de manera responsable la exposición inmediatamente después de encontrarla, pero no obtuvieron respuesta de Wizards of the Coast. No fue hasta que TechCrunch contactó que el desarrollador del juego finalmente entró en acción y retiró la base de datos.
El hecho de que la fuga se haya producido debido a un error de configuración bastante simple es preocupante. Sin embargo, lo que es más desconcertante es el hecho de que Wizards of the Coast actuó solo después de que se presentara la amenaza de que los medios de comunicación rompieran la historia.
Las organizaciones deberían comenzar a pensar más en proteger la privacidad y seguridad de las personas y menos en preservar su reputación. Cuanto antes se den cuenta de esto, mejor.
