Intrusión en el foro de Clash of Kings deja a 1,6 millones de cuentas en riesgo

Los detalles de las cuentas de casi 1,6 millones de jugadores de Clash of Kings, un popular juego para smartphones, fueron robados luego de que su foro oficial fuera comprometido.

Según reporta ZDNet, atacantes pudieron ingresar al foro del juego de estrategia de guerra, que maneja la firma china Elex, y se hicieron de nombres de usuario, direcciones de correo electrónico, direcciones IP, identificadores de dispositivos y (si los jugadores habían ingresado a través de su perfil) los datos de Facebook y tokens de acceso de 1.597.717 gamers.

Las contraseñas están almacenadasen la base de datos comprometida, aunque con sal y hash, lo cual dificulta que puedan ser explotadas.

Es importante notar que el ataque no parece impactar a todos los usuarios de Clash of Kings; tus datos solo están en riesgo si te registraste en el foro del videojuego.

Clash of Kings forum

Como señala ZDNet, Clash of Kings es uno de los juegos móviles más populares, con cerca de 100 millones de instalaciones solo en Android.

Y si bien todavía es un misterio quién atacó el foro, la forma en que fue comprometido es conocida. Se cree que los atacantes explotaron una vulnerabilidad en vBulletin, el software usado para mantener el sitio, con el objetivo de obtener acceso a los datos sensibles. Parece que usaba una versión desactualizada, lo que significa que no se habían parcheado los agujeros de seguridad que se encontraron en el software en los últimos años.

Se cree que la intrusión ocurrió el 14 de julio, pero al momento de escribir, no hay un comunicado oficial en el sitio. Por lo tanto, muchos usuarios del foro no saben que hubo un incidente de seguridad ni recibieron los consejos que deberían seguir para protegerse.

Por ejemplo, si un cibercriminal ahora sabe que eres fanático de Clash of Kings y miembro de su foro, es fácil imaginar que podría estar tentado a mandarte correos falsos especialmente diseñados y dirigidos. Su objetivo podría ser que reveles tu contraseña, usando phishing o técnicas de Ingeniería Social para que hagas clic en enlaces que podrían llevarte a la descarga de malware.

El hecho de que un atacante sepa detalles sobre ti, como tu nombre de usuario en Clash of Kings, hace que las comunicaciones falsas que te mande puedan parecer más convincentes. Por suerte, tienes esta guía para identificar y protegerte de engaños.

Y aunque todavía no hay nada que sugiera que los cibercriminales obtuvieron el detalle de las contraseñas, sería prudente que todos los usuarios del foro cambien sus contraseñas de inmediato y, quizá más importante, que se aseguren de que no están usando la misma en otro servicio de Internet.

Después de todo, si un atacante puede determinar tu contraseña para un sitio, hay chances de que tratará de usarla para acceder a otras cuentas. La experiencia les indica que esta es una práctica muy común, como la de usar “password” y “123456” como contraseñas.

La falta de un comunicado oficial por parte de quienes administran el foro de Clash of Kings es preocupante; sumado a eso, el uso de una versión desactualizada de vBulletin es un problema (lamentablemente) familiar.

Los administradores de sitios modernos deben despertarse y comprender que sus sitios ya no son meros panfletos promocionando un producto, compañía o servicio. Son, en cambio, partes de software cada vez más complejas, con cientos de miles de líneas de código, las cuales por su propia naturaleza son propensas a contener bugs y vulnerabilidades.

Por otro lado, los aspirantes a atacantes pueden usar los motores de búsqueda para hallar sitios en los que podrán explotar vulnerabilidades conocidas.

Si no mantientes todo el software que usa tu sitio actualizado con los últimos parches de seguridad, y no tomas medidas para reducir los riesgos de que los sistemas sean comprometidos y se filtre información, estás poniendo a tus clientes en riesgo.

Para evitarlo, mejor sigue estos 10 consejos para el desarrollo seguro.

Autor Graham Cluley, We Live Security

Síguenos