La compañía de telecomunicaciones francesa Orange ha confirmado que su portal "Mi Cuenta" fue atacado a mediados de enero, el ataque impactó a cerca de 800 mil clientes.

La prensa francesa reportó la fuga de información ocasionada por atacantes desconocidos el 16 de enero. Horas después la falla en el sistema fue reparada.

Mi Cuenta contiene información personal de los clientes de la compañía Orange, esta información incluye nombres, direcciones de correo electrónico y números de teléfono. Aunque las contraseñas no se vieron afectadas, la compañía urgió a sus usuarios a cambiarlas lo antes posible, a manera de precaución.

Uno de los riesgos más grandes de este tipo de fugas de información es que los atacantes utilicen los datos sustraídos para futuros ataques, como phishing dirigido o con la intención de obtener información bancaria, como claves de acceso.

El Director Ejecutivo de 2-sec y presidente de ISSA UK, Tim Holman, señaló el historial manchado de Orange respecto a fugas de información, (la compañía sufrió una fuga considerable de direcciones de correo en 2010) y declaró que el ataque posiblemente fue "algún tipo de inyección SQL".

"La anatomía del ataque sugiere que hay algo mal con la página "Mi cuenta" de clientes franceses, en donde parece ser que se utilizó algún tipo de inyección de SQL para extraer miles de registros de los clientes. Debido al alto número de datos expuestos, una inyección de SQL es lo más probable, a diferencia de un ataque al manejo de sesiones usando cross site scripting."

Brian Honan, fundador y analista en la Consultoría BH, coincidió en que probablemente el problema surgió debido a una vulnerabilidad en el sitio web de Orange.