<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=360133424683380&amp;ev=PageView&amp;noscript=1">

Se filtran los datos de 6 millones de jugadores de Battle for the Galaxy

Los encargados de la seguridad de WizCase han descubierto un servidor sin seguridad propiedad de AMT Games que ha filtrado perfiles de usuario, transacciones y mensajes

Los investigadores descubrieron que los datos almacenados en el servidor de ElasticSearch no estaban encriptados y el servidor tampoco tenía contraseña, a pesar de que AMT Games lo utilizaba para almacenar la información del perfil, el historial de pagos y los mensajes de valoración de millones de jugadores de Battle for the Galaxy.

GalaxyAMT Games Ltd. es una empresa con sede en China que desarrolla juegos en línea para móviles y navegadores conocidos y aplicaciones de juegos para Android, iPhone, Steam y navegadores web. Algunos de los juegos más populares de la empresa son Battle for the Galaxy, Heroes of War: WW2 Idle RPG, Epic War TD2 y Trench Assault.

Según los investigadores, el servidor sin seguridad de ElasticSearch contenía 5,9 millones de perfiles de jugadores, 2 millones de transacciones, 587.000 valoraciones y datos de transacciones como el precio, el artículo comprado, la hora de la compra, el proveedor de pago y, en algunos casos, la dirección IP del comprador.

También se descubrió que el servidor contenía datos de los perfiles de los jugadores, como sus identificaciones, nombres de usuario, país, dinero total gastado en el juego, así como datos de las cuentas de Facebook, Apple y Google si el usuario vinculaba alguna de ellas con su cuenta del juego. Si alguien con malas intenciones se hiciera con dichos datos, podría realizar campañas de phishing para dirigirse a los jugadores en línea y engañarlos para que compartan la información de sus tarjetas de crédito.

"Las direcciones de correo electrónico y los detalles específicos de los problemas de los usuarios con el servicio, como en las transacciones y los mensajes de los desarrolladores, les permiten a este tipo de personas hacerse pasar por el equipo técnico y dirigir a los usuarios a webs maliciosos donde les podrían robar los datos de las tarjetas de crédito", advirtió WizCase.

"Con los datos sobre cuánto dinero se ha gastado por cuenta, los estafadores podrían dirigirse a los usuarios que más pagan, muchos de los cuales son niños a juzgar por su historial de juego, el tiempo que pasan en el juego, su círculo de amigos, etc., y tener una probabilidad de éxito aún mayor de la que tendrían en caso contrario. Con estos correos, los juegos de la competencia podrían intentar migrar o dirigirse a los usuarios con publicidad y campañas de correo electrónico."

Al comentar la exposición de otro caso de una empresa que almacena grandes cantidades de datos en una base de datos no segura, Tim Mackey, encargado de la estrategia de seguridad en el CyRC de Synopsys, dijo que con la prevalencia de bases de datos mal configuradas, está claro que algunos equipos carecen de la capacidad de confirmar que están utilizando una configuración segura para sus sistemas de producción. Existen varios remedios posibles, pero uno de los más sencillos es definir un modelo de actualización basado en excepciones para los ajustes de configuración.

"Según este modelo, se realiza una revisión a nivel de auditoría de los datos de configuración para crear un conjunto de ajustes y archivos de configuración aprobados. Cualquier actualización de esos ajustes previamente aprobados requiere entonces esa misma revisión a nivel de auditoría para los cambios y la configuración actual siempre se valida contra los ajustes aprobados.

"Aunque hay varias tecnologías que pueden utilizarse para implementar actualizaciones basadas en excepciones, este es un caso en el que un proceso bien definido con comprobaciones automatizadas es mucho más valioso que la tecnología que implementa el proceso", añadió.

Según Trevor Morgan, director de producto de comforte AG, los jugadores en línea tienen que tener cuidado a la hora de compartir sus datos personales con los desarrolladores del juego, ya que cualquier brecha, ciberataque o filtración puede hacer que caigan en manos ajenas.

"Los datos de los usuarios, a menudo el mismo que utilizan en las redes sociales, suponen una información muy poderosa para los hackers, lo que permite dirigirse a los usuarios que gastan mayores cantidades de dinero en el juego. Los jugadores han de ser conscientes de los tipos de datos que le proporcionan al juego directamente o al vincular la cuenta y deben responsabilizar a los desarrolladores de juegos y a las empresas de almacenamiento de su protección.

"En la otra cara de la moneda, las empresas de juegos deben tomarse la privacidad de los datos mucho más en serio e incorporar infraestructuras de datos con un nivel seguridad más alto. Dado que recopilan datos potencialmente valiosos de los usuarios, su estrategia debería centrarse en los datos, asumiendo hay gente que quiere acceder a ellos y no para hacer el bien", afirma.

SiGMA Roadshow: Próxima parada Alemania

El evento virtual durará dos horas y tratará temas de actualidad, así como oportunidades de negocio. Esta conferencia única, interactiva y de corta duración se celebrará en diferentes países a lo largo del año. La próxima parada es Alemania, apúntate ahora. Trataremos varios temas desde los eSports hasta la normativa y regulación. ¡Regístrate ahora!

Artículo relacionado