|
Ataque. Un grupo de ciberatacantes logr� obtener los datos personales de 790 mil 724 usuarios; sin embargo, no lograron obtener los datos de tarjetas de cr�dito de los usuarios. (Foto: Especial)
|
El sitio web pornográfico Brazzers informó que cerca de 800 mil cuentas de usuarios fueron hackeadas por un grupo de cibercriminales que accedió a la base de datos hace aproximadamente cuatro años.
Los correos electrónicos, nombres de usuarios y contraseñas de 790 mil 724 usuarios fueron publicados en el portal Vigilante.pw, incluso algunas firmas de seguridad han logrado verificar que la información robada es correcta.
“Esto está vinculado con un incidente que tuvo lugar en 2012. El foro Brazzersforum estaba manejado por un tercero. El incidente ocurrió por una vulnerabilidad en el software de vBulletin y no en Brazzers”, justificó Matt Stevens, responsable de comunicación del portal.
Refirió que la falla en el software fue detectada por los ciberatacantes, quienes sólo accedieron a los datos personales de los usuarios y no a la información financiera, por lo que no lograron obtener los datos de tarjetas de crédito de los suscriptores.
“Las cuentas de los usuarios fueron compartidas entre Brazzers y Brazzersforum; esto resultó en que una pequeña porción de las cuentas de nuestros usuarios fueran expuestas, pero ya tomamos las medidas correspondientes para protegerlos”, agregó Stevens.
“Hay que tener en cuenta que los datos contienen cuentas duplicadas y algunas no activas. Inhabilitamos todas las cuentas no activas de esa lista, en caso que esos nombres y contraseñas sean reutilizadas en el futuro”, aclaró Stevens, luego de que se difundiera que en total habían sido 928 mil 72 las cuentas hackeadas.
Información expuesta
De acuerdo con el portal Motherboard, en el foro Brazzersforum, que tiene una URL separada del sitio principal, los usuarios podían debatir sobre las diferentes escenas pornográficas, sus actores o actrices, así como pedir un nuevo escenario para las producciones.
Troy Hunt, especialista en ciberseguridad y creador del sitio Have I Been Pwned? (que sirve para consultar si una cuenta fue hackeada) ayudó a verificar el conjunto de datos al contactar a los suscriptores a su sitio, quienes confirmaron la información.
“Hemos visto una verdadera avalancha de violaciones en vBulletin, pues el software se había quedado prácticamente sin vigilancia y sin amor”.
Hunt señaló que las vulnerabilidades han sido encontradas y los parches se han publicado para evitar nuevos ciberataques.
“Cuando es únicamente la pertenencia a un sitio web para adultos, se sabe que la persona tiene un interés en el material para adultos que, aunque potencialmente es embarazosa, dice muy poco acerca de los usuarios. Sin embargo, una vez que están comentando en un foro, se puede tener información muy personal acerca de sus pensamientos íntimos”.
Por su parte, un usuario de Brazzers compartió para el portal Brazzers: “Es una situación desafortunada que mi información fuera incluida en la filtración, pero es el riesgo que uno corre al crear una cuenta en cualquier lugar de la web”.
Este acontecimiento se suma a la lista de portales de contenido para adultos que prometen a sus usuarios mantener en discreción su identidad.
En 2015, un grupo de ciberdelincuentes denominado Impact Team se apoderó de la información personal de 37 millones de usuarios registrados al sitio de citas para infieles Ashley Madison y Established Men, un sitio que promete juntar a mujeres jóvenes con hombres de buena condición económica.
Los cibercriminales amenazaron con divulgar esta información si ambos sitios no eran cerrados; sin embargo, la compañía Avid Life, encargada de ambos sitios, no accedió a la petición, lo que ocasionó que se publicara en línea aproximadamente 9.7 GB de información de usuarios.
Datos accesibles para otros hackers
Los datos, que estaban encriptados usando un algoritmo bcryp, podían consultarse sólo desde el navegador Tor. De acuerdo con el portal fayerwayer, expertos en ciberseguridad afirmaron que otros cibercriminales podían acceder a esa información aunque ésta se encontrara encriptada, lo que acentuaba la gravedad del ciberataque.
Al igual que en Brazzers, la información correspondía a los datos de las cuentas usadas por los usuarios en los sitios; sin embargo, en este ataque, los ciberdelincuentes sí lograron acceder a información bancaria, ocupación, nombre real y dirección.
Tras las molestias generadas por el robo de información y las constantes amenazas de extorsión, Ashley Madison ofreció a sus suscriptores la opción de borrar sus datos sin costo, además de anunciarles que subiría sus medidas de seguridad.
El grupo de hackers publicó la información y comunicó a los usuarios la falta de medidas de seguridad en el portal, pues aseguró que la empresa no borraba completamente la información personal de los usuarios.
Según fayerwayer, tras conocerse el hackeo a Ashley Madison, varios medios expusieron algunos detalles de la información publicada por Impact Team; por ejemplo, la lista completa de usuarios, la cual reveló que más de 15 mil usuarios usaban cuentas de gobierno o militares para acceder al sitio.
DN/I
|