Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/07/2013
Comprometen un servidor de Ubisoft con datos de usuarios
A través de un correo electrónico dirigido a sus usuarios, Ubisoft ha informado de la detección de una intrusión en uno de sus servidores web a través del cual, los atacantes, han tenido acceso a una base de datos con información personal de sus clientes.
Los datos extraídos serían: nombres de usuario, direcciones de correo electrónico y las contraseñas de acceso, aunque según Ubisoft, este último dato se almacena cifrado.
No es el primer ataque sufrido por Ubisoft. El pasado abril, su plataforma de distribución online de videojuegos, uPlay, fue víctima de un exploit que permitía evadir ciertas restricciones y autorizar a un usuario la descarga de juegos sin pasar por caja. El exploit se originó en un foro ruso y con el se llegó incluso a descargar copias sin DRM del título “Far Cry 3: Blood Dragon” semanas antes de ser lanzado oficialmente.
Sobre el ataque sufrido a día de hoy no se dispone de mucha información, como es costumbre. A pesar de que no dan muchos datos no es difícil imaginar que la web podría tener una vulnerabilidad de inyección de código SQL, vulnerabilidad que ostenta el número uno consecutivamente en el Top Ten de OWASP. Llama bastante la atención que grandes compañías, sobre las que el impacto en imagen se traduce en millones de pérdidas, no dispongan de planes de revisión más fiables sobre su infraestructura.
Quedan algunas preguntas en el aire: ¿Solo han extraído 3 campos de datos? ¿Como "cifraban" las contraseñas? y la última, como ya viene siendo habitual ¿Cuanto tardarán los datos de los usuarios en aparecer en pastebin?