Fuga del sitio porno de Brazzers: por qué todos deberían estar preocupados

Se han filtrado los detalles de casi 800.000 usuarios del foro de Brazzers.

En 2009, ganó el premio AVN al mejor sitio web para adultos. Tres años después, la información privada de 790,724 usuarios fue objeto de una violación. Es una pesadilla de privacidad, similar a la Volcado de datos de Ashley Madison 3 razones por las que el hack de Ashley Madison es un asunto serioInternet parece extasiado por el hack de Ashley Madison, con millones de adúlteros y potenciales los detalles de los adúlteros pirateados y publicados en línea, con artículos que muestran a las personas que se encuentran en los datos vertedero. Hilarante, ¿verdad? No tan rapido. Lee mas en 2015.

Como si la filtración de los hábitos pornográficos de los usuarios no fuera lo suficientemente malo, esto podría tener implicaciones aún más amplias.

¿Qué sucedió?

Deberíamos haber visto algo como esto venir Los hábitos de visualización de pornografía podrían ser la próxima gran fuga: esto es lo que debe hacerUn ingeniero de software advirtió recientemente que debe esperar que se filtre su historial de Internet, específicamente cualquier sitio para adultos que haya visitado. ¿Qué puedes hacer al respecto?

Lee mas . Algunos están facturando que esto afecta a todos los que alguna vez han visitado un sitio web para adultos, pero ese no es el caso en absoluto. No obstante, sí insinúa una vulnerabilidad generalizada que podría afectar a la mayoría de los sitios con un foro de discusión.

Pero primero, centrémonos en lo que le sucedió a Brazzers, entre los 125.000 sitios web más populares del mundo. Si limitamos la búsqueda de Alexa solo a India, se encuentra entre las 25.000 principales. Puede parecer nada, pero teniendo en cuenta que hay alrededor de mil millones de sitios en Internet, es bastante impresionante.

"La contraseña es incorrecta"

* restablece la contraseña *

"La nueva contraseña no puede ser la misma que la antigua" pic.twitter.com/7uo7Z97CSL

- Bromistas poco prácticos (@ItsFunnyJokers) 6 de septiembre de 2016

La infracción ocurrió en 2012, lo que es cierto que hace mucho tiempo. Es una de las filtraciones de ese año de las que, curiosamente, acabamos de enterarnos, incluyendo LinkedIn Lo que necesita saber sobre la fuga masiva de cuentas de LinkedInUn pirata informático está vendiendo 117 millones de credenciales de LinkedIn pirateadas en la web oscura por alrededor de $ 2,200 en Bitcoin. Kevin Shabazi, director ejecutivo y fundador de LogMeOnce, nos ayuda a comprender qué está en riesgo. Lee mas y Dropbox, el último de los cuales afectó a unos 68 millones de usuarios ¿Eres uno de los 69 millones de usuarios de Dropbox pirateados?Se ha confirmado que 68 millones de cuentas de Dropbox fueron pirateadas en agosto de 2012. ¿El tuyo era uno de ellos? Que deberias hacer al respecto? ¿Y por qué el truco tardó CUATRO AÑOS en llegar ... Lee mas .

Brazzers en sí no fue violado; en cambio, fue su foro, que en realidad es más preocupante. Además, los titulares de cuentas normales de Brazzers aún pueden tener motivos de preocupación. Matt Stevens, gerente de relaciones públicas del sitio, explica:

El incidente ocurrió debido a una vulnerabilidad en dicho software de terceros, el software “vBulletin”, y no en Brazzers en sí. Dicho esto, las cuentas de los usuarios se compartieron entre Brazzers y el "Brazzersforum", que se creó para la conveniencia del usuario. Eso resultó en que una pequeña parte de nuestras cuentas de usuario quedara expuesta y tomamos medidas correctivas en los días posteriores a este incidente para proteger a nuestros usuarios.

Eso está muy bien, pero nadie fue informado cuando sucedió realmente. Está lejos del admirable manera en que Moonfruit lidió con un ataque reciente Qué otros sitios web importantes pueden aprender del ataque DDoS de MoonfruitMoonfruit es el último de una larga lista de gigantes en línea afectados por piratas informáticos, pero la forma en que manejaron la amenaza fue impresionante. De hecho, otros sitios podrían aprender mucho de cómo manejaron la situación. Lee mas .

Nombres de usuario, direcciones de correo electrónico, y contraseñas Todo lo que necesita saber sobre las contraseñasLas contraseñas son importantes y la mayoría de las personas no las conocen lo suficiente. ¿Cómo eliges una contraseña segura, utilizas una contraseña única en todas partes y las recuerdas todas? ¿Cómo protege sus cuentas? Como hacer... Lee mas se filtraron, pero el foro era un lugar para que la gente discutiera sus deseos más profundos: mientras que antes, aquellos Las fantasías estaban ocultas detrás de un nombre de usuario misterioso, esto vincula las peculiaridades particulares de los usuarios con su correo electrónico. direcciones.

Aunque el conjunto de datos incluía 928.072 correos electrónicos, muchos eran duplicados. Eso todavía deja a 790,724 usuarios únicos afectados.

¿Cómo podría empeorar esto?

Podría pensar que no hubo mucho impacto considerando que acabamos de enterarnos. Después de todo, si las víctimas salieran mal de esto, ya nos habríamos enterado. Sin embargo, es muy preocupante, especialmente con el aumento de la sextorsión La sextorsión ha evolucionado y da más miedo que nuncaLa sextorsión es una técnica de chantaje aborrecible y predominante dirigida a jóvenes y mayores, y ahora es aún más intimidante gracias a redes sociales como Facebook. ¿Qué puede hacer para protegerse de estos sórdidos ciberdelincuentes? Lee mas .

Pero hay dos razones principales por las que esto podría ser peor de lo que parece inicialmente.

La primera es que estas contraseñas estaban en texto sin formato. Te estarás preguntando cómo los sitios web responsables almacenan contraseñas de forma segura ¿Cómo mantienen seguros los sitios web sus contraseñas?Con las constantes violaciones de seguridad en línea que se informan, sin duda le preocupa cómo los sitios web mantienen su contraseña. De hecho, para su tranquilidad, esto es algo que todos deben saber ... Lee mas . La respuesta es, no como texto sin formato. Hay nada seguro sobre el texto sin formato. Esto significa que, si alguien tuviera acceso a un conjunto de datos que incluye su contraseña, leería exactamente cómo lo ingresó. No importaría si su contraseña fuera la más complicada frase de contraseña aparentemente segura Por qué las frases de contraseña son mejores que las contraseñas y las huellas dactilares¿Recuerdas cuando las contraseñas no tenían por qué ser complicadas? ¿Cuándo los PIN eran fáciles de recordar? Esos días se acabaron y los riesgos de delitos cibernéticos significan que los escáneres de huellas dactilares son prácticamente inútiles. Es hora de comenzar a usar contraseñas ... Lee mas de todos los tiempos: un hacker podría simplemente leerlo.

El texto sin formato significa sin cifrado, sin salazón, sin hash. Es una locura que un sitio todavía almacene algo importante de esa forma. Los usuarios de sitios de pornografía esperan especialmente un nivel muy alto de cifrado, pero esta violación de Brazzers nos recuerda que incluso algunos de los sitios más populares utilizan enfoques inseguros para su información privada.

Otros hacks de vBulletin revelaron que el software del foro permite a los usuarios encriptar las contraseñas a su gusto, por lo que podemos inferir que Brazzers es el mismo responsable del uso de texto sin formato.

La principal preocupación, sin embargo, es exactamente que se trataba de una vulnerabilidad en vBulletin, que es utilizado por casi 40.000 sitios activos. Se han realizado parches para las vulnerabilidades, pero, naturalmente, dependen de los administradores de los sitios para actualizar. Y eso es un problema.

Los fans de GTA también se vieron afectados

Los detalles de casi 200,000 cuentas en GTAGaming, un sitio dedicado a la aclamado Grand Theft Auto serie, se filtraron el mes pasado, incluidas direcciones de correo electrónico, fechas de nacimiento, direcciones IP y contraseñas, estas últimas al menos con hash dos veces (aunque solo con el algoritmo M5) y saladas. Se ha llevado al sitio a deshacerse de vBulletin por completo:

Hemos cerrado los foros de forma permanente y todas las cuentas que no se actualicen en las próximas semanas se eliminarán de la base de datos. Moviremos la base de datos de la cuenta a un sistema de autenticación más seguro, eliminando todo rastro de el software del foro vBulletin, y hasta entonces lo vigilaremos de cerca para evitar más compromisos.

Teniendo en cuenta la cantidad de sitios de alto perfil que utilizan vBulletin, en particular, ubuntuforums.org, el foro oficial de el sistema operativo Linux ¿Cuál es el sistema operativo móvil más seguro?Luchando por el título de Sistema operativo móvil más seguro, tenemos: Android, BlackBerry, Ubuntu, Windows Phone e iOS. ¿Qué sistema operativo es el mejor para defenderse de los ataques en línea? Lee mas - un problema importante con vBulletin podría causar serios problemas. El propio VBulletin fue atacado el año pasado, lo que provocó que todos los usuarios tuvieran que cambiar sus contraseñas, al igual que el sitio vinculado de los desarrolladores, VBTeam.

¿Qué puedes hacer?

Lo primero que debe hacer es verificar si su dirección de correo electrónico fue parte de la filtración. Si estás en Brazzers, vale la pena hacerlo. Si no es así, aún puede consultar ¿Me han engañado?, que le dirá si ha sido víctima de alguna infracciones, ya sea en sitios NSFW, sitios de redes sociales como MySpace Facebook rastrea a todos, MySpace fue pirateado... [Resumen de noticias tecnológicas]Facebook está rastreando a todos en la Web, millones de credenciales de MySpace están a la venta, Amazon trae Alexa a su navegador, No Man's Sky sufre un retraso y Pong Project toma forma. Lee mas , o tu proveedor de correo electrónico como Gmail ¿Está su cuenta de Gmail entre los 42 millones de credenciales filtradas? Lee mas .

Si ha sido una víctima, ciertamente debe cambiar su contraseña, tanto en el Foro de Brazzers como en su dirección de correo electrónico. El hecho de que sus datos se incluyeron en la infracción no significa que los estafadores hayan logrado bombardearlo con spam o falsificar su dirección. Por otro lado, como esta filtración fue en 2012, existe la posibilidad de que ya hayas sufrido alguna consecuencia.

Cuando restableces a un usuario #contraseña tras una infracción ...

… Y la vuelven a cambiar a la contraseña original.#locopic.twitter.com/BHUPnMjum1

- Paul Moore (@Paul_Reviews) 4 de septiembre de 2016

No obstante, si tiene una cuenta de Gmail, puedes consultar tu monitor de actividad Compruebe si su cuenta de Gmail está pirateada con Activity Monitor Lee mas , solo para asegurarse de que no haya ocurrido nada dudoso. De hecho, siempre recomendamos realizar un seguimiento de las últimas violaciones de seguridad Manténgase al día con las últimas filtraciones de datos: siga estos 5 servicios y fuentes Lee mas - de nuevo, por si acaso.

Si se registra en un sitio que podría requerir información, preferiría mantener la privacidad (como cualquier secretos), utilice un correo electrónico y una contraseña únicos que serán más difíciles para que los posibles ciberdelincuentes vinculen su nombre real con transacciones.

Y si es administrador de un sitio que depende de vBulletin, asegúrese de actualizarlo. El parche más reciente fue solo el mes pasado, que surgió después de los foros del multijugador dota 2 fueron violados, afectando a 1,9 millones de cuentas.

¿Qué lecciones se pueden aprender?

No es culpa de aquellos usando el foro de Brazzers, pero los usuarios de esa comunidad de discusión deben estar aún más atentos si ingresan datos confidenciales. Cualquiera que use más sitios para adultos también debe tomar nota.

Ya es hora de que las empresas se den cuenta de que las contraseñas no son seguras con el cifrado M5, y mucho menos el texto sin formato. Si detecta un sitio que utiliza este último, debe informar Delincuentes de texto sin formato.

¿Qué otros consejos tiene para cualquier persona afectada o preocupada de que un sitio similar pueda ser el objetivo de los piratas informáticos?