La compañía de videojuegos EskyFun Entertainment Network, centrada en juegos de rol para Android almacenaba datos de más de un millón de usuarios en un servidor ElasticSearch vulnerable.
El problema se detecto gracias a un proyecto del equipo de investigación de vpnMentor. El equipo de vpnMentor encontró un servidor con una interfaz web de Elasticsearch sin protección alguna. Desde la misma se podía acceder a los datos almacenados.
Los datos que se exponían corresponden a los usuarios de todos los juegos de EskyFun:
- Realm of Chaos: Battle Angels (100.000+ Descargas)
- Rainbow Story: Fantasy MMORPG (500.000+)
- Metamorph M (100.000+)
- Dynasty Heroes: Legend of SamKok (1.000.000+ Descargas)
- Throne of the Chosen: King’s Gambit (50.000+ Descargas)
- Crazy Rich Man: Sim Boss (500.000++ Descargas)
La política de permisos invasiva y unas funciones de ‘tracking’ que recolectaban información totalmente innecesaria para los juegos, hacen que la cantidad de datos expuestos sea abrumadora. Entre los datos encontramos información muy sensible de los usuarios como el IMEI, correo electrónico, número de teléfono y contraseñas en texto plano para las cuentas de los jugadores.
Brechas como la de EskyFun no solo afectan a el servicio en si donde se producen, si no que pueden impactar a el usuario en multitud de aspectos. El carácter de los datos expuestos puede exponer a robos de identidad, campañas de phishing dirigidas o robo de cuentas de otros servicios en caso de reutilización de credenciales. Desde Hispasec recomendamos en caso de tener cuenta en estos juegos cambiemos las credenciales asociadas a este.
Más información:
Deja una respuesta