Chess.com, la popular plataforma online para aficionados al ajedrez, ha sido el foco de una reciente filtración de datos. Más de 828.000 registros de usuarios fueron expuestos por un hacker —que responde al nombre de 'DrOne'— en BreachForums, un sitio de la Deep Web que hace las veces de 'marketplace' de ciberdelitos, y en el que suelen publicarse datos sobre filtraciones de datos.
Lo curioso del caso es que esta filtración no parece ser el resultado de una intrusión en el servidor (por fortuna, pues Chess.com cuenta con 150 millones de usuarios hoy en día), sino del uso de técnicas de scraping o 'raspado web', un proceso por el cual se automatiza la extracción masiva de datos consultables en la web.
No dejan de implementarse nuevas medidas para dificultar esta clase de ataques —límites de consumo de datos, tests CAPTCHA, etc.—, pero los scrappers siguen desarrollando nuevas técnicas para sortear estas barreras. Y resulta cada vez más difícil obstaculizar su labor sin obstaculizar también a los usuarios legítimos.
En cualquier caso, que los datos filtrados tengan su origen en esta técnica explica que afecten a un porcentaje tan 'pequeño' de usuarios (el 0,533% de la plataforma) y no incluyan, por ejemplo, las contraseñas. Sin embargo, entre esta información filtrada sí se incluye, por ejemplo:
- Nombres completos
- Nombres de usuario
- Enlaces de perfil
- Correos electrónicos
- Países de origen de los usuarios
- URL de avatar (que contienen imágenes de perfil)
- Identificador único (UUID) e ID de usuario
- Fecha de registro (el registro más reciente es de septiembre de este mismo año)
Adecuadamente cruzada entre sí y con otras fuentes de información, todos estos datos constituyen un tesoro para los ciberdelincuentes, pues pueden utilizarse para toda clase de tareas ilegales como el robo de identidad, las estafas de phishing, y los ataques de ingeniería social.
El tema de las contraseñas
Por otro lado, es recomendable que los usuarios de Chess.com cambien sus contraseñas si también las utilizan o utilizaron en otras web… pues, contando con toda la información antes expuesta, el hacker pueden intentar cruzar los datos con las credenciales de otras filtraciones, obteniendo —esta vez sí— la contraseña.
En HackRead se destaca el hecho de que, al hacer el experimento de intentar registrarse en Chess.com con las direcciones de correo electrónico filtradas, casi todas indicaron que ya existía una cuenta asociada, lo que confirma que los datos son válidos y activos y no una mera recopilación de viejas filtraciones.
Imagen | Marcos Merino mediante IA
Ver 1 comentarios