Un pirata informático ha filtrado una base de datos de 40 millones de usuarios de la popular aplicación Wishbone como descarga gratuita en uno de los foros de piratería informativa. ZDNet.

Para aquellos que no lo saben, Wishbone, una aplicación de redes sociales lanzada en 2015 que se describe a sí misma como «el método básico para comparar cualquier cosa que desee el corazón» permite a los usuarios comparar dos o más elementos en una simple encuesta de votación. Esta aplicación para iOS y Android cubre desde moda, celebridades, humor, música y mucho más, y está especialmente dirigida a los adolescentes.

El reconocido pirata informático conocido como «ShinyHunters» se ha ganado el crédito de publicar la base de datos a RaidForums, afirmando que, «ya que la gente empieza a revender el hueso deseado, hemos decidido filtrarla gratuitamente».

ShinyHunters es el mismo pirata informático que se encontró vendiendo unos 73,2 millones de registros de usuarios robados a 10 empresas en línea por unos 18.000 dólares.

Este hacker también está detrás del robo de 500 GB de los depósitos privados de Microsoft GitHub y de la venta de la base de datos de la tienda en línea más grande de Indonesia, Tokopedia, así como de la base de datos de la plataforma de aprendizaje en línea, Unacademy on the Dark Web.

La mayoría de datos expuestos disponibles para todos incluyen nombres de usuario, direcciones de correo electrónico, números de móvil, sexo, fecha de nacimiento, ciudad / estado / país, fichas de acceso a Facebook y Twitter, contraseñas resumidas MD5, imágenes de perfil incluidas imágenes de supuestos menores), y mucho más.

Este tesoro de información puede ser útil para amenazar a los actores con la realización de campañas de pesca suplementarias, ataques de relleno de credenciales y toma de cuentas.

La base de datos fue publicada por primera vez para la venta por un vendedor de incumplimiento de datos a RaidForums por 0,85 Bitcoin (alrededor de 8.000 dólares) este miércoles. En respuesta a este listado, ShinyHunters decidió el jueves filtrar la base de datos de Wishbone al mismo foro de piratas informáticos de forma gratuita.

El distribuidor afirma que los datos de la aplicación Wishbone han adquirido en un hack que se produjo a finales de enero de 2020, lo que se puede confirmar a partir del registro del usuario y de las últimas fechas de inicio de sesión incluidas en la muestra de datos de Wishbone que proporcionó. Además, los datos de muestra compartidas por ShinyHunters muestran que se descargaron en enero de 2020 confirmando que los datos provienen de un nuevo hack y no de un hack anterior de Wishbone en 2017.

No está claro si el vendedor exacto de los datos es quien lanzó el ciberataque a Wishbone. Sin embargo, según ZDNet, el vendedor sólo es un «intermediario de datos», que se especializa en la compra y reventa de bases de datos pirateadas al subterráneo cibercriminal.

Mammoth Media, la empresa matriz de Wishbone, todavía no ha hecho una declaración oficial sobre dicha piratería reciente a su aplicación, pero dijo que es consciente de la situación y de las quejas sobre la seguridad de la aplicación.

«Proteger los datos es de la máxima importancia. Estamos investigando este asunto y compartiremos cualquier novedad significativa «, dijo la compañía en un comunicado a ZDNet.

En lugar del incidente actual, sugeriríamos a los usuarios de Wishbone que cambien inmediatamente la contraseña de sus cuentas. Además, si es la misma combinación de correo electrónico / nombre de usuario y contraseña para otras aplicaciones, le pedimos que también las actualice. Además, le pedimos que cancela el acceso de la aplicación a cualquier cuenta de correo electrónico o de redes sociales enlazado.