La compañía de ciberseguridad WizCase denunció que más de 150,000 cuentas de usuario del popular juego de fantasía de fútbol de Televisa, Fut Fantástico, quedaron expuestos por un contenedor mal configurado.
La violación reveló varias partes de información identificable, incluidos los nombres completos, direcciones de correo electrónico, fechas de nacimiento, direcciones IP y más.
«Nuestro equipo de hackers de sombrero blanco, con Avishai Efrat a la cabeza, descubrió un bucket S3 de Amazon mal configurado con datos de usuario identificados como parte de la plataforma Fut Fantastico. El nombre del cubo reveló las iniciales de Televisa Interactive Media y parece haber sido utilizado para almacenar datos de usuarios, incluidas imágenes guardadas de la aplicación de juegos de fantasía. El bucket también expuso lo que parece ser un viejo video promocional de Fut Fantastico», comentaron en WizCase.
El bucket mal configurado también contenía 2 archivos CSV que exponían información de identificación personal de un gran grupo de usuarios, como:
- Nombre completo
- Dirección de correo electrónico
- Fecha de nacimiento
- Fecha de registro de usuario
- Género
- Dirección IP utilizada recientemente
- Configuración de las notificaciones
- Última fecha y hora de inicio de sesión
- Estadísticas en el juego
Los datos corresponden a más de 150,000 usuarios que se inscribieron en la plataforma entre 2017 y 2019.
Las amenazas que detectó WizCase para estos usuarios son:
- Fraude y robo de identidad : con los datos personales disponibles, los hackers pueden usarlos para actividades fraudulentas o para crear nuevas identidades. Este último puede ayudar a crear nuevas cuentas bancarias, hacerse cargo de las existentes, comprar artículos ilegales o incluso adquirir documentos legales legítimos como pasaportes o licencias de conducir.
- Estafas de phishing y correos electrónicos maliciosos : los estafadores manipulan los datos de los usuarios para establecer confianza y engañarlos para que proporcionen información valiosa adicional, como números de tarjetas de crédito o contraseñas. Las víctimas desprevenidas también tienen más probabilidades de hacer clic en enlaces de phishing maliciosos o malware adjunto en correos electrónicos. Si bien las estafas de phishing se utilizan para recopilar información confidencial, la descarga de malware puede tener consecuencias catastróficas, ya que incluso puede permitir a los atacantes tomar el control total de sus dispositivos.
- Espionaje empresarial : la base de datos expuesta podría haber permitido que varias empresas competidoras se dirigieran a usuarios de Fut Fantastico. Esto podría haberse hecho enviando correos electrónicos promocionales detallados con ofertas exclusivas para que los usuarios migren a sus plataformas.
