Foro XKCD pirateado: se filtraron más de 562,000 detalles de cuentas de usuarios

piratería de violación de datos xkcd

XKCD—Una de las plataformas webcomic más populares, conocida por su humor tecnológico geek y otras tiras cómicas cargadas de ciencia sobre el romance, el sarcasmo, las matemáticas y el lenguaje— sufrió una violación de datos que expuso los datos de los usuarios de su foro.

La brecha de seguridad ocurrió hace dos meses, según el investigador de seguridad Troy Hunt, quien alertado la compañía del incidente, con piratas informáticos desconocidos que robaron alrededor de 562,000 nombres de usuario, correo electrónico y direcciones IP, así como contraseñas cifradas.

Sin embargo, los datos filtrados en realidad fueron descubiertos por el investigador de seguridad y analista de datos Adam Davies, quien compartió una copia con Hunt.

Al momento de escribir este artículo, XKCD eliminó su foro y publicó un breve aviso en su página de inicio, como se comparte a continuación, instando a sus usuarios a cambiar sus contraseñas de inmediato.

«Los foros de xkcd están actualmente fuera de línea. Hemos sido alertados de que partes de la tabla de usuarios de PHPBB de nuestros foros aparecieron en una recopilación de datos filtrados. Los datos incluyen nombres de usuario, direcciones de correo electrónico, contraseñas con hash y con sal y, en algunos casos, un Dirección IP desde el momento del registro.”

«Hemos desconectado los foros hasta que podamos revisarlos y asegurarnos de que sean seguros. Si es un usuario de los foros echochamber.me/xkcd, debe cambiar inmediatamente su contraseña para cualquier otra cuenta en la que haya usado el misma o una contraseña similar».

Los administradores del foro también están notificando a los usuarios afectados por correo electrónico.

Como se mencionó, XKCD usa phpBB, un foro gratuito y de código abierto y un software de tablón de anuncios integrado en el software de programación PHP.

Sin embargo, en este momento no está claro si XKCD estaba usando una versión anterior del software del foro vulnerable a una falla de seguridad o si los atacantes explotaron cualquier falla no descubierta previamente en phpBB para extraer los datos sin autorización.

Además de esto, incluso si XKCD se ejecutaba sobre phpBB versión 3.1 y posterior, que utiliza un algoritmo de hash BCRYPT más seguro, es posible que las contraseñas de los primeros usuarios del foro XKCD se cifraran mediante el método de hash MD5 más antiguo y menos seguro.

Qué puede hacer ahora: se recomienda encarecidamente a los usuarios afectados que cambien inmediatamente su contraseña de XKCD, así como las contraseñas de cualquier otra cuenta en línea que reutilice la misma contraseña.

Creado en 2005 por el autor estadounidense Randall Munroe, XKCD es un webcomic popular que se centra en la tecnología, la ciencia y la cultura de Internet, con un tema que varía desde declaraciones sobre la vida y el amor hasta bromas internas matemáticas, de programación y científicas.

Continua leyendo