Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/07/2013
Comprometen un servidor d'Ubisoft amb dades d'usuaris
A través d’un correu electrònic dirigit als seus usuaris, Ubisoft ha informat de la detecció d’una intrusió en un dels seus servidors web a través del qual, els atacants, han tingut accés a una base de dades amb informació personal dels seus clients.
Les dades extretes serien: noms d’usuari, adreces de correu electrònic i les contrasenyes d’accés, encara que segons Ubisoft, esta última dada s’emmagatzema xifrada.
No és el primer atac patit per Ubisoft. El passat mes d’abril, la seua plataforma de distribució en línia de videojocs, uPlay, va ser víctima d’un exploit que permetia evadir certes restriccions i autoritzar un usuari la descàrrega de jocs sense passar per caixa. L’exploit es va originar en un fòrum rus i amb este es va arribar fins i tot a descarregar còpies sense DRM del títol “Far Cry 3: Blood Dragon” setmanes abans de ser llançat oficialment.
Sobre l’atac patit a hores d’ara no es disposa de molta informació, com de costum. A pesar que no donen moltes dades no és difícil imaginar que la pàgina web podria tindre una vulnerabilitat d’injecció de codi SQL, vulnerabilitat que té el número un consecutivament en el Top Ten d’OWASP. Crida prou l’atenció que grans companyies, sobre les quals l’impacte en imatge es traduïx en milions de pèrdues, no disposen de plans de revisió més fiables sobre la seua infraestructura.
Queden algunes preguntes en l’aire: només han extret 3 camps de dades? Com "xifraven" les contrasenyes? i l’última, com ja és habitual, quant tardaran les dades dels usuaris a aparéixer en Pastebin?