Un servidor vulnerable de EskyFun expone datos de sus usuarios

  • Actualidad

tablet

La compañía de populares juegos de rol para Android, como Dynasty Heroes: Legend of SamKok o Metamorph M, almacenaba datos de más de un millón de usuarios en un servidor ElasticSearch sin protección, incluida información muy sensible como el IMEI y correo electrónico.

El equipo de investigación de vpnMentor ha descubierto una brecha de datos en la compañía china EskyFun Entertainment Network, centrada en videojuegos de rol para Android. La compañía estaba utilizando un servidor ElasticSearch no seguro para almacenar grandes cantidades de datos recopilados de los usuarios en sus juegos.

Los juegos de EskyFun afectados en esta filtración de datos fueron Rainbow Story: Fantasy MMORPG (más de 500.000 descargas); Metamorph M (más de 100.000 descargas); y Dynasty Heroes: Legends of Samkok (más de 1.000.000 de descargas). En total son 134 GB de datos, unos 365,6 millones de registros, y se calcula que el número de personas expuestas potencialmente supera el millón (basado en descargas totales de juegos de EskyFun en Android).

El problema es que gran parte de estos datos eran increíblemente sensibles, como el IMEI, el correo electrónico, el número de teléfono y las contraseñas en texto plano para las cuentas de los jugadores. vpnMentor cree que no había necesidad de que una compañía de videojuegos mantuviera archivos tan detallados sobre sus usuarios, ya que, al no proteger los datos, EskyFun ha expuesto potencialmente a más de un millón de personas al fraude, el phishing la piratería informática y el espionaje corporativo.

El equipo de vpnMentor descubrió la base de datos EskyFun a principios de julio. Una vez confirmados los detalles de la filtración y EskyFun como la parte responsable, se pusieron en contacto con la compañía de inmediato. Después de un par de semanas sin respuesta, enviaron un correo electrónico de seguimiento y se pusieron en contacto con el CERT de Hong Kong, que fue rápido y proactivo en su respuesta, buscando información adicional para tomar las medidas apropiadas. Sin embargo, en este punto, la base de datos estaba protegida y la brecha se había cerrado. Como nunca recibieron noticias de EskyFun, no pueden confirmar exactamente cuándo solucionó la vulnerabilidad.