El viernes pasado, el popular sitio de juegos Club Penguin Rewritten (CPRewritten) sufrió una violación de datos que dejó al descubierto cuatro millones de cuentas de usuario.
El hackeo de los datos de la cuenta, incluidas las direcciones de correo electrónico, los nombres de usuario, las direcciones IP y las contraseñas, ya es bastante malo en cualquier caso, pero esto empeoró mucho por el hecho de que se produjo tras una brecha separada en enero de 2018 que afectó a 1,7 millones de cuentas, que se hicieron públicas más de un año después.
La causa de la reciente violación? De acuerdo con alguien conectado a CPRewritten que se puso en contacto con el sitio de noticias Bleeping Computer esta semana, el hackeo ocurrió después de que los hackers accedieran a una puerta trasera oculta de la base de datos PHP colocada allí por un ex administrador del sitio el año pasado.
Es una versión de los eventos que tanto el individuo en cuestión como un grupo de hackers que se responsabilizó del hackeo, niegan enérgicamente.
El grupo del Nuevo Orden Mundial que reclama el crédito por la brecha dice que comprometió el sitio utilizando una vulnerabilidad en la herramienta de administración de la base de datos Adminer. Con respecto a la participación del administrador, tuitearon esto:
…no tuvo nada que ver con eso. Los administradores de CPR saben quiénes somos, somos responsables de las violaciones de la base de datos de muchos otros CPPSes.
July breach
CPRewritten se lanzó en 2017 para continuar con el anterior Club Penguin (CP), que fue cerrado por los propietarios de Disney en el mismo año.
Un año más tarde, se anunció que Club Penguin también cerraría, una decisión que se revirtió un mes más tarde después de que se encontraran fondos adicionales.
Se cree que la brecha comenzó alrededor de las 11 pm BST del viernes pasado, aproximadamente una hora después de la cual un administrador notó que los recursos del servidor se estaban utilizando en gran medida.
CPRewritten solo se dio cuenta de que esto estaba conectado a una brecha al día siguiente. Para cuando tomó medidas defensivas, afirman que los hackers ya habían intentado…
…daña registros y roba cuentas valiosas con objetos virtuales raros recogidos del juego.
Qué hacer
La primera tarea es cambiar la contraseña de la cuenta, algo que el sitio probablemente requerirá que los usuarios hagan de todos modos la próxima vez que inicien sesión (por lo que podemos decir, la autenticación de dos factores «Candado» aún no está disponible para activar).
El hecho de que los hashes de datos se almacenaran usando Bcrypt será visto como una buena noticia. Sin embargo, esto no es un escudo mágico y aún puede ser vulnerable a los atacantes con suficiente tiempo en sus manos.
Ambas infracciones sufridas por el sitio se hicieron públicas por el Have I Been Pwned? Sitio de notificación de infracciones (HIBP) que ahora también puede enviar alertas de nuevos incidentes en Mozilla Firefox.