Wizards of the Coast (WotC), la empresa detrás de Magic: the Gathering y Dungeons and Dragons ha protagonizado una masiva fuga de datos de usuarios.

Vivimos en una paradoja, un mundo hiperconectado, en el cuál le damos nuestros datos más privados e importantes a numerosos sitios web y aplicaciones que nos facilitan la vida de alguna forma. Sin embargo, esta información cada vez es más importante mantenerla en secreto ya que los delincuentes informáticos están al acecho esperando una oportunidad para atacar, pudiendo vaciar nuestras cuentas bancarias, o vender nuestros datos a otras personas quienes podrían robar nuestras identidades.

Debido a la importancia que tiene esta información cada página web, servicio en línea y aplicación posee un contrato de privacidad donde exponen de manera explícita los datos que recogen de cada usuario y cómo los utilizarán.

No obstante, estos contratos no sirven de nada cuando hay una brecha en la seguridad y se filtran estos datos llegando a un número indeterminado de personas con intenciones no determinadas.

Muchos han sido los casos protagonizados por compañías de la talla de Nintendo, Adobe Systems o Google, en algunos casos los servidores son hackeados como le ocurrió a Blizzard o Playstation Network, en otros casos, la fuga se debe a un error humano, como fue el caso de Bethesda el año pasado.

¿Cómo se ocasionó la fuga de datos de Wizards of the Coast?

Según reporta Techcrunch, Wizards of the Coast, una importante empresa de juegos, los dueños de Magic: The Gathering, Dungeons and Dragons, Netrunner, entre otros, dejó un archivo de respaldo con información privada de sus usuarios en una unidad virtual de almacenamiento en Amazon Web Services. Este archivo no estaba protegido por contraseña, así que cualquiera podía acceder a esta información.

Fidus Information Security, una empresa de seguridad informática fue quien encontró el archivo, según han declarado el mismo debe tener relativamente poco tiempo expuesto, desde mediados de septiembre aproximadamente, pero fue suficiente para que ellos lo encontraran y accedieran al mismo.

Según palabras de Harriet Lester, un directivo de Fidus, a TechCrunch el trabajo de su empresa se puede describir de la siguiente manera “Nuestro su equipo de desarrollo trabaja continuamente, buscando malas configuraciones como esta para alertar a las compañías tan pronto como sea posible para evitar que los datos caigan en manos equivocadas. Es nuestra pequeña forma de ayudar a hacer de Internet un lugar más seguro.

¿Cuál es el alcance de la fuga? ¿Cómo afecta a los jugadores de Magic: The Gathering y Dungeons and Dragons?

En el archivo encontrado por Fidus habían datos de 452.634 jugadores, así como datos de 470 trabajadores de Wizards of the Coast, los datos tienen un rango de fechas de unos seis años, al menos desde 2012 hasta mediados de 2018.

Captura de pantalla de la base de datos, editada para proteger datos. (Imagen: TechCrunch)

En el archivo podemos encontrar nicks de usuarios, direcciones de correo electrónico, así como la fecha y hora de la creación de la cuenta, también tenía las contraseñas aseguradas con técnicas de hashing and salting, lo cual dificulta enormemente el acceso a las mismas pero no es totalmente imposible.

Cabe destacar que quien desee acceder a las contraseñas, deberá invertir una buena cantidad de rescursos informáticos y tiempo para poder revelarlas.

¿Qué ha dicho Wizards of the Coast (WotC)? ¿Cuáles consecuencias podrían tener?

Es un tanto decepcionante que al parecer, según el artículo fuente, WotC ignoró los correos de Fidus sobre este tema, hasta que un medio de comunicación famoso, como TechCrunch decidió contactarlos.

Bruce Dugan, vocero de la compañía de juegos, respondió a TechCrunch en un comunicado: “Nos enteramos que un archivo de datos de un sitio web fuera de servicio había sido hecho accesible para personas externas a nuestra compañía sin darnos cuenta” así mismo declaró que ya han eliminado el archivo, que creen que no se ha hecho un uso malicioso del mismo (aunque no puedan probarlo) y que están notificando a los jugadores que están en esa base de datos para que cambien sus contraseñas.

Pero para Harriet Lester, Director de investigación y desarrollo de Fidus, es sorprendente que una empresa con más de 450.000 usuarios tenga hoy en día una “falta de higiene de seguridad básica y malas configuraciones” que pongan en riesgo la seguridad de sus usuarios.

Wizards of the Coast ya ha informado de la fuga de datos, siguiendo las reglas de las regulaciones europeas del Reglamento General de Protección de Datos (RGPD). Información confirmada por TechCrunch en Reino Unido. Cabe destacar que las compañías que no cumplan esas regulaciones pueden ser multadas con hasta el 4% de sus ventas brutal anuales.

Comentarios finales

En lo personal me parece un tanto decepcionante que WotC no haya actuado con premura ante la alerta de una compañía dedicada a la seguridad y haya esperado a que una web de noticias los contactara, como usuario un espera que sus datos estén protegidos.

Una vez más vemos la importancia de tener contraseñas únicas en cada sitio donde nos demos de alta. Si usas la misma para varios servicios o webs y uno de ellos es hackeado los atacantes podrían acceder a mucha más información personal de la que originalmente tendrían acceso.

La fuga de datos es importante en sí misma aunque los datos revelados no sean gran cosa, pero en mi opinión personal no creo que vaya a entrañar algún peligro en el futuro. De todas maneras es recomendable cambiar nuestras contraseñas por prevención.

Fuente:
‘Magic: The Gathering’ game maker exposed 452,000 players’ account data