Un hacker penetró a los servidores y bases de datos del concentrado y desarrollador de aplicaciones para redes sociales RockYou! y logró robar más de 32 millones de claves de acceso, nombres de usuarios y direcciones de correo electrónico de los usuarios de la plataforma.
De acuerdo con diversos sitios en Internet como TechCrunch y SecureMagazine el robo de información se ejecutó a través de un ataque de inyección de SQL en uno de los cuatro servidores de bases de datos de la empresa.
La advertencia fue expedida por expertos de la firma de seguridad IT Imperva, quienes afirmaron haber detectado una severa vulnerabilidad en los sistemas SQL de RockYou! Sin embargo, antes de poder corregir el error, un hacker bajo el alias de “igigi†presumió haber sustraÃdo las claves de acceso de más de 32 millones de usuarios.
“Me estaba muriendo de la risa cuando la gente de Imperva detectó la vulnerabilidad SQL en RockYou! Si claro ustedes son los mejores, pero qué creen fue demasiado tarde. Logré descargar cada dato de las cuentas de este mugroso sitioâ€, escribió en su blog el atacante.
Para presumir su logro el hacker decidió publicar parte de los datos obtenidos, los cuales no contenÃan ningún tipo de encripción, a través del ataque de inyección de SQL en su blog y, de paso amenazó a los administradores de RockYou!, que de no hacerse responsables y confesar el robo, publicarÃa toda la información.
“No le mientan a sus clientes o voy a publicar todoâ€, escribió igigi.
Cabe recordar que los ataques de inyección SQL suceden cuando un hacker agrega código SQL adicional a los comandos de petición de una página, de modo que el servidor web trata de ejecutar esos comandos en el trasfondo de la base de datos. AsÃ, las aplicaciones web vulnerables terminan por entregar o filtrar información adicional al atacante, en este caso millones de registros de internautas.
La falla le permitió al cibercriminal extraer poco más de 32 millones de entradas, nombres de usuarios, contraseñas y correos electrónicos y, dado que la gran mayorÃa de los internautas acostumbran a usar la misma clave para sus diversos servicios de internet ( de compras en lÃnea, redes sociales o webmails como Gmail o Hotmail) el riesgo potencial es mucho mayor, afirman los expertos de Imperva.
Mea culpe, mea culpa
RockYou! es una empresa californiana, conocida inicialmente como RockMySpace, fue fundada en 2006 y está dedicada al desarrollo y publicación de aplicaciones para otras redes sociales tales como correos de voz, juegos de video o herramientas de diapositivas, la misma compañÃa afirma que ha creado algunos de los widgets más utilizados dentro de Facebook
Por ello, luego de que los medios de comunicación dieran a conocer el robo de información masivo, la directiva de RockYou! publicó un carta en su sitio web, reconociendo el ataque de inyección de SQL y la pérdida de las contraseñas.
“Como ya se ha informado, uno o más individuos, ilegalmente irrumpieron en una de nuestras cuatro bases de datos, la cual contenÃa los nombres de usuarios, contraseñas y correos electrónicos, en formato no encriptado, de cerca de 32 millones de usuariosâ€, explicó la compañÃa.
La compañÃa compartió que, después de la fuga cerró por completo la plataforma y agregó que los datos sustraÃdos no contienen información financiera ni tampoco datos que los usuarios utilizan en las aplicación de RockYou! para sitios como MySpace, Facebook, Friendster, Bebo y Orkut.
Sin embargo, la firma si urgió a los usuarios a cambiar, lo antes posible, su contraseña de RockYou!, pero también del resto de sus servicios en lÃnea sobre todo para aquellos usuarios que acostumbran usar una misma clave de acceso para diferentes plataformas web.
La empresa afirmó que ya ha comenzado a corregir este error al encriptar todas las contraseñas, establecer estándares y protocolos de seguridad y hacer una revisión constante de sus niveles de seguridad y riesgos.
[...] web almacenan datos confidenciales para sus usuarios. Violaciones de la seguridad, como la intromisón a RockYou muestran lo que puede ocurrir cuando una aplicación web populares almacena datos confidenciales [...]