• 20
    junio
    2011

    Sega, otro hack en un website de juegos online

    Publicado por Ricardog en Zona de Colaboradores (Zoológico) (0) Comentarios

    (Por El Microsaurio) La lista se hace aburrida; Sony, Nintendo, Sega. Y los damnificados también son muchos, pasan del millón. No parece haber consecuencias económicas para los usuarios damnificados, por ahora, pero… siempre hay un pero. Arrimate y reflexionemos juntos.

    El incidente fue descubierto el jueves 16 pasado, al atardecer, en uno servidores de la empresa Sega Corporation. Todavía están discutiendo si fue en los de Tokio o en los de San Francisco EE.UU., mientras los de Sega Europe (en Gran Bretaña) ponen cara de póker. No importa. El ingreso fue en el área SegaPass, dedicada a juegos online. Hasta la mañana del lunes 20, un cartelito anunciaba “debido a mejoras, no está habilitado el acceso a nuevos miembros o al ingreso de los miembros existentes para modificar sus datos de suscripción”. Alguna pequeña falla de redacción indicaba un mensaje escrito a las corridas, y además, el sistema nombre de usuario-contraseña estaba deshabilitado.
    ¿Qué había pasado?
    El jueves los administradores del sistema encontraron rastros de ataque dentro de los logs de servidor. Además de un repetido ingreso indebido, “alguien” había copiado un millón doscientos noventa mil conjuntos de datos de usuarios registrados en el website.
    ¿Qué datos? Nombre de usuario, contraseña, dirección de correo electrónico y fecha de nacimiento.

    En un email enviado al día siguiente (viernes pasado) a ese millón y pico de usuarios, y que tuve oportunidad de leer, Sega afirmó que los password estaban criptografiados (no indicaron con qué método…) y que no había información comercial comprometida, ya que “…como usamos proveedores externos para el sistema de pagos, los datos personales de pago no están en riesgo con esta intrusión…”
    En criollo, los número de tarjeta de crédito o cuenta bancaria están sentaditos en otro server, esperando que alguno se los lleve, si puede, pero esta vez no pasó.
    También pidieron, amablemente, que si alguien usaba la misma información para loguearse a otro sistema, cambie los datos.
    En criollo, si alguno fue tan descuidado como para usar en ese website el mismo nombre de usuario y pass que en su correo “normal”, mejor que los cambie. Ya.

    • Observación importante, destacada, imperdible: es muy posible que en los próximos días lleguen a esas cuentas de mail unos mensajes falsamente originados en la administración de Sega, pidiendo “escriba usted aquí su contraseña”. A ver si queda claro: no, no te van a pedir el password por correo. Nunca tenés que escribir tu password en respuesta a un email, ufa.

    Si no lograron llevarse números de tarjeta de crédito u otra información bancaria, ¿para qué les servirán, financieramente hablando, las direcciones de email?
    Si no te diste cuenta, se usan para robar las cuentas bancarias a las que se pueda ingresar luego de conseguir la contraseña de ese email.
    El sistema de trabajo es tedioso, pero simple:

    • Mandan mail a todos las cuentas, invocando una borrosa razón técnica para que el incauto escriba su password en una página web armada al efecto.
    • Algunos contestan (centenares, no vayas a creer) escribiendo la contraseña.
    • Al toque el cracker de turno ingresa en esa cuenta de correo (para eso le dieron el password…) y levanta todo el archivo de mail
    • Una rápida revisión automatizada levanta de ahí más direcciones de mail (las de los amigos del primer incauto) y si tiene suerte, el nombre del banco con el que esta persona opera;
    • Si tiene mucha más suerte, además del banco encuentra el número de la cuenta. Si se arma el terceto “nombre real de la persona+nombre del banco+número de cuenta” un estafador avezado puede hacer un desastre.
    • Si además dentro de los mail encontró la dirección y el teléfono del incauto, ¡bingo! ¿Notaste la cantidad de gente que incluye su dirección y teléfono fijo debajo del nombre, como “firma” de los email?¿Te imaginaste la cosecha de datos personales que se pude hacer, levantando la “carpeta de recibidos” de un webmail?
    • Más bingo, si encima aparece en el archivo de centenares de mailes un pin de cuatro números…
    • Bingo plus, si el incauto es un gerente de algo…

    Hasta la próxima función de circo, perdón, hasta el próximo robo masivo de datos.

      Tags:

    Dejar un Comentario

    Nombre (*)
    E-mail (*)
    URI
    Message
     

     

    • Categorías

    • Login

    • Tecnozona en Twitter

    • Tecnozona en Facebook