Un desarrollador chino expone los datos de más de un millón de jugadores

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un desarrollador de juegos chino ha expuesto involuntariamente los datos personales y de los dispositivos de más de un millón de jugadores tras dejar sin seguridad un servidor orientado a Internet, según los investigadores.

Un equipo de vpnMentor dirigido por Noam Rotem y Ran Locar, descubrió el servidor Elasticsearch desprotegido el 5 de julio. Tras no recibir respuesta de su propietario, EskyFun Entertainment Network Limited, se pusieron en contacto con el CERT de Hong Kong, y al día siguiente, el 28 de julio, la base de datos estaba protegida.

El tesoro de 134 GB contenía unos 365 millones de registros relacionados con los jugadores de los juegos de fantasía de la empresa: Rainbow Story: Fantasy MMORPG; Metamorph M; y Dynasty Heroes: Legends of Samkok.

Esta gigantesca colección de registros de usuarios es aún más digna de mención si se tiene en cuenta que la empresa sólo recopiló un registro continuo de los registros de los siete días anteriores, eliminando todo lo más antiguo para dar paso a nuevos datos.

Entre los datos filtrados a través del servidor no seguro se encontraban la dirección IP, el modelo de dispositivo, el número de teléfono, la geolocalización y el ID de la cuenta del comprador. Los investigadores también encontraron más de 217 millones de direcciones de correo electrónico y contraseñas de EskyFun en texto plano.

El equipo de vpnMentor estimó el número de usuarios afectados en más de un millón debido al número de descargas de Android que tienen los tres juegos afectados: alrededor de 1,5 millones.

Los ciberdelincuentes también podrían haber utilizado las contraseñas en texto plano para secuestrar las cuentas de juego de los usuarios de EskyFun o para apoyar campañas de relleno de credenciales diseñadas para desbloquear otras cuentas en la web que las mismas credenciales podrían proteger.

Con información de: Info Security Magazine.