A
través de un correo electrónico dirigido a sus usuarios, Ubisoft ha
informado de la detección de una
intrusión en uno de sus servidores web a través del cual, los atacantes, han
tenido acceso a una base de datos con información personal de sus clientes.
Los datos extraídos serían:
nombres de usuario, direcciones de correo electrónico y las contraseñas de
acceso, aunque según Ubisoft, este último dato se almacena cifrado.
No es el primer ataque sufrido
por Ubisoft. El pasado abril, su plataforma de distribución online de
videojuegos, uPlay, fue víctima de un exploit que permitía evadir ciertas
restricciones y autorizar a un usuario la descarga de juegos sin pasar por
caja. El exploit se originó en un foro ruso y con el se llegó incluso a
descargar copias sin DRM del título “Far
Cry 3: Blood Dragon” semanas antes de ser lanzado oficialmente.
Sobre el ataque sufrido a día de
hoy no se dispone de mucha información, como es costumbre. A pesar de que no
dan muchos datos no es difícil imaginar
que la web podría tener una vulnerabilidad de inyección de código SQL,
vulnerabilidad que ostenta el número uno consecutivamente en el Top Ten de
OWASP. Llama bastante la atención que grandes compañías, sobre las que el
impacto en imagen se traduce en millones de pérdidas, no dispongan de planes de
revisión más fiables sobre su infraestructura.
Quedan algunas preguntas en el
aire: ¿Solo han extraído 3 campos de datos? ¿Como "cifraban" las contraseñas? y
la última, como ya viene siendo habitual ¿Cuanto tardarán los datos de los
usuarios en aparecer en pastebin?
Más información:
Actualización de seguridad respecto
a tu cuenta de Ubisoft
Twitter: Ubisoft
una-al-dia (05/08/2012) El plugin
de navegador de Ubisoft, permite a un atacante ejecutar cualquier programa
David García
Twitter: @dgn1729
No hay comentarios:
Publicar un comentario