Foros de Epic Games comprometidos otra vez: 800 mil gamers en riesgo

Parece que más de 800.000 nombres de usuario, direcciones de correo electrónico y fechas de nacimiento fueron robadas de los foros online de Epic Games.

La compa√Ī√≠a, famosa por haber desarrollado juegos populares como Unreal Tournament, Infinity Blade y Gears of War, dej√≥ expuestos a miembros de su comunidad. Atacantes explotaron una vulnerabilidad conocida en una versi√≥n desactualizada del software vBulletin.

Como consecuencia, no solo se puso en riesgo la informaci√≥n personal de los individuos sino tambi√©n, como reporta ZDNet, ‚Äúsu historial completo de publicaciones y comentarios incluyendo mensajes privados y otra actividad de los usuarios‚ÄĚ.

Se cree que cerca de medio millón de las cuentas comprometidas son de los foros de Unreal Engine. En su sitio web se publicó el siguiente comunicado:

Epic statementCreemos que un incidente reciente en el foro de Unreal Engine y Unreal Tournament revel√≥ direcciones de correo electr√≥nico y otros datos ingresados, pero no contrase√Īas en ninguna forma, ni con sal, hash o en texto plano. Si bien los datos almacenados en las bases de datos de cuentas de vBulletin para estos foros fueron filtrados, las contrase√Īas de las cuentas de usuarios est√°n almacenadas en otro lado. Estos foros siguen online y no es necesario restablecer contrase√Īas.

Tambi√©n creemos que un incidente en los foros de Infinity Blade, UDK, juegos anteriores de Unreal Tournament y los foros archivados de Gears of War revelaron direcciones de correo electr√≥nico, contrase√Īas con sal y hash y otros datos ingresados. Si estuviste activo en estos foros despu√©s de julio 2015, recomendamos que cambies tu contrase√Īa en cualquier sitio en que uses la misma.

No creemos que otros foros relacionados de Epic hayan sido afectados, incluyendo Paragon, Fortnite, Shadow Complex y SpyJinx.

Pedimos disculpas por las molestias que esto les causó a todos y haremos actualizaciones cuando sepamos más.

A pesar de que es un alivio que las contrase√Īas parezcan no haber sido comprometidas en la brecha en los foros de Unreal Engine y Unreal Tournament, todav√≠a hay muchas formas en las que atacantes podr√≠an explotar la informaci√≥n robada, incluyendo el env√≠o de mensajes falsos a los correos filtrados, usando Ingenier√≠a Social cuidadosamente dise√Īada para enga√Īarlos.

Y seg√ļn c√≥mo suenan las noticias, los jugadores de Infinity Blade, UDK, juegos anteriores de Unreal Tournament y Gears of War pueden no haber sido tan afortunados en lo que a contrase√Īas segurasse refiere, por lo que ser√≠a prudente asegurarse de que no las est√°n reutilizando en m√ļltiples sitios.

Lo m√°s vergonzoso para Epic Games es que pas√≥ poco m√°s de un a√Īo desde que sufri√≥ el √ļltimo gran ataque a sus foros online.

El problema hoy es el mismo que en ese entonces. Los foros de Epic usan una versión lamentablemente desactualizada del software vBulletin, con vulnerabilidades a inyección SQLque los cibercriminales pueden explotar para robar información.

Ser√≠a lindo pensar que Epic Games aprendi√≥ de su mala experiencia el a√Īo pasado y aument√≥ la vigilancia para asegurarse de que vBulletin est√° parcheado y actualizado, o cambi√≥ a una plataforma sin tantos problemas de seguridad.

Desafortunadamente, parece que eso no pasó.

Lo que significa que depende de los gamers hacer su mejor esfuerzo para defenderse. Lo bueno es que gamers profesionales ya indicaron cómo hacerlo.

Tu primer paso deber√≠a ser, obviamente, usar contrase√Īas √ļnicas y dif√≠ciles de adivinar para cada cuenta online que tengas. Esto ayuda a protegerte de ataques que aprovechen la reutilizaci√≥n de contrase√Īas.

Pero lo que realmente necesitamos es que m√°s empresas se despierten antes de verse envueltas en brechas de seguridad.

Si no puedes demostrar que est√°s tomando las medidas adecuadas para proteger a tus usuarios, como mantener el software del foro actualizado para defenderlo de las √ļltimas vulnerabilidades explotadas por los atacantes, no te sorprendas si tus usuarios deciden irse a otro lado.

Fuente:http://www.welivesecurity.com/