Esta semana se informó que Patreon había sufrido un fallo de seguridad, y si bien en principio se pensaba que no había sido tan grave, ayer se descubrieron cerca de 15 GB de información correspondiente a contraseñas, registros de donaciones y código fuente de la misma página, según pudo corroborar Ars Technica.
PUBLICIDAD
Hasta el momento la información ha sido analizada por el sostenedor del sitio Have i been pwned?, Troy Hunt, que en sus indagaciones ya ha sido capaz de identificar 2.3 millones de direcciones únicas de correo electrónico, incluyendo la suya.
El experto en seguridad se mostró interesado en la forma en el ataque fue llevado a cabo. “El hecho de que el código fuente exista… es interesante y sugiere mucho más que un típico ataque de inyección SQL y puntos de compromiso más amplios. (…)A lo menos significa que se puede vincular a cada individuo con las campañas de Patreon que han apoyado“, explica.
Patreon indica que las contraseñas utilizaban un método de cifrado bcrypt. Si bien este sistema es reconocido por ser bastante desgastador para intentar descifrarlo, teniendo el código fuente se indica que los atacantes podrían haber aprovechado errores en la programación que acelerarían significativamente el proceso, similar al que se supone habría sido utilizado en el ataque al sitio de infidelidades Ashley Madison hace casi un mes.
La información, direcciones de correo electrónico y contraseñas ya han sido comenzadas a ser identificadas en las redes sociales y a modo de recomendación, Patreon aconseja cambiar todas las contraseñas que los usuarios puedan tener vinculadas a su sitio y todavía no se conoce la identidad de los atacantes.