Primeras brechas de datos del año: Town of Salem y Blur

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Menos una semana después de que comenzase el año, se han descubierto dos brechas de seguridad de alto perfil en Town of Salem y Blur, que han expuestos datos personales y contraseñas de más de 10 millones de usuarios.

La brecha de datos de Town of Salem, un popular juego basado en navegador propiedad de BlankMediaGames, se descubrió por primera vez el 28 de diciembre, cuando la base de datos comprometida se envió de forma anónima a DeHashed, un motor de búsqueda de bases de datos hackeadas.

Según DeHashed, se expusieron 7.633.234 direcciones de correo electrónico únicas, en su mayoría de Gmail, Hotmail y Yahoo.com. También se expusieron nombres de usuario, contraseñas hash, direcciones IP y alguna información de pago, incluidos nombres completos, direcciones de envío y facturación, información de IP y cantidad abonada, si bien los números de tarjetas de crédito no fueron expuestos.

Un desarrollador de Town of Salem afirmó que el punto de entrada fueron tres archivos PHP maliciosos separados. "Hemos encontrado y eliminado tres archivos PHP diferentes de nuestro servidor web que permitieron al hacker tener una puerta trasera en el servidor", ha señalado el desarrollador, que ha aconsejado a los usuarios del juego que cambien sus contraseñas, especialmente si usan las mismas credenciales en otro sitio.

La otra brecha de datos que ha afectado al administrador de contraseñas Blur fue divulgada el 31 de diciembre, y reveló una gran variedad de información personal de millones de usuarios. Se estima que aproximadamente 2,4 millones de usuarios sean visto potencialmente afectados.

Según un portavoz de Abine, el problema se encuentra en un depósito de almacenamiento de Amazon S3 mal configurado que se estaba utilizando para el procesamiento de datos. La información expuesta incluye direcciones de correo electrónico únicas, nombres y apellidos, sugerencias de contraseña, la última y penúltima dirección IP del usuario y contraseñas de Blur cifradas de los usuarios que registraron sus cuentas antes del 6 de enero de 2018.

Abine enfatizó que no hay evidencia de que los datos críticos del usuario, incluida la información de pago o los nombres de usuario almacenados en Blur, se hubieran visto comprometidos. La compañía también hizo hincapié en que los usuarios deben cambiar su contraseña de Blur, así como en cualquier otro servicio, si la han reutilizado.