El sitio para reproducir música en streaming Gaana, basado en India, ha sido atacado y está fuera de servicio. Como resultado, el atacante pudo obtener una base de datos con información personal de sus usuarios, que incluye nombres, direcciones de correo electrónico y contraseñas cifradas por MD5.

Lo curioso es que, según dice, no buscaba rédito económico ni filtrar los datos personales, sino instar a la compañía proveedora del servicio a que solucione la falla. Según reporta The Hacker News, un informático pakistaní apodado Mak Man dijo ser el responsable del hecho, que podría afectar a los 10 millones de usuarios de Gaana. Mak Man afirmó que no accedió a la información financiera que encontró disponible.

Al momento de publicar este post, el sitio muestra un mensaje diciendo que está fuera de servicio por mantenimiento del servidor:


La cuenta de Facebook atribuida a Mak Man publicó detalles del ataque, que parece haber sido causado por una inyección SQL, es decir, una inyección de código SQL malicioso en el sitio. Aprovechando vulnerabilidades en la validación de las entradas de datos, esta técnica permite realizar consultas o modificaciones arbitrarias a una base de datos.

makman_gaana

Mak Man reportó la vulnerabilidad a Times Internet, compañía dueña de este servicio de streaming, y su CEO Satyan Gajwani dijo en Twitter que están trabajando sobre el asunto: "No se accedió a ninguna información personal financiera o sensible detrás de las credenciales de acceso a Gaana. Tampoco se accedió a credenciales de terceros".

A continuación podemos ver una serie de tuits en los que Gajwani afirma que la base de datos ya no es accesible y que fue removida en forma permanente a su pedido, y que la vulnerabilidad ya fue solucionada. Además, le informa a los usuarios que han hecho un reset de todas las contraseñas, por lo que se deberá cambiarlas, y que el sitio continúa fuera de servicio porque lo están revisando "para ver si hay algo más".

Con este intercambio, quedó claro que la intención de Mak Man era dar cuenta de la existencia de la vulnerabilidad para que la empresa responsable se hiciera cargo de la falla, y lo logró.

Gajwani solicitó a los usuarios de Gaana que cambiaran sus contraseñas "por si acaso", y esto debe hacerse sobre todo si las mismas son utilizadas para otros servicios web. Como ante todos los casos de este estilo, recordamos la importancia de construir contraseñas fuertes y seguras.