El propietario de GameReplays.org ha invitado a hackers éticos a probar su sitio web contra vulnerabilidades, después de un ataque reciente que dejó como saldo 10 mil cuentas de usuarios expuestas.

GameReplays.org alberga a una comunidad en línea de entusiastas de juegos multiplayer. El sitio organiza torneos profesionales y publica repeticiones de los encuentros, así como guías de estrategias, otros tips y trucos.

El lunes pasado, un hacker que dice estar afiliado a Anonymous y que actúa en Twitter bajo el nombre EcecusHxc, publicó una lista de 5,000 cuentas de GameReplays que fueron copiadas de la base de datos del sitio tras la explotación de una vulnerabilidad.

La información filtrada incluía cuentas de correo electrónico y hashes de contraseñas, así como sus correspondientes salts, llaves secundarias usadas para cifrar hashes de contraseñas para que no puedan ser crackeadas.

Al día siguiente, el hacker publicó una lista de 5,000 cuentas de correo y contraseñas de miembros de GameReplays, alcanzando el número total de 10,000 cuentas expuestas.

De acuerdo con Jon LeMaitre, copropietario y Gerente General de GameReplays, Ececus envió el domingo un correo a los administradores del sitio, diciendo que había encontrado una vulnerabilidad y que estaba dispuesto a compartir los detalles técnicos si se le daba el crédito apropiado por el descubrimiento.

“Teniendo en cuenta que envió el correo en Español y que estuve fuera celebrando el Memorial Day el fin de semana, no tuve la oportunidad de ver su correo ni de agradecerle por alertarnos acerca del problema,” LeMaitre dijo en el blog de GameReplays el martes. “Debido a que no pude responder a un correo electrónico (escrito en un lenguaje que no conozco), en 24 hrs, decidió continuar por su cuenta y darse crédito por el ataque.”

Debido a que Ececus no compartió los detalles de la vulnerabilidad, el equipo de GameReplays dejó de trabajar en las nuevas características del sitio que se encontraban en desarrollo, para dedicar su tiempo a investigar acerca del problema de seguridad.

El equipo planea notificar a los usuarios cuya información fue expuesta a través de correo electrónico y del foro de GameReplays. “Una vez que esta vulnerabilidad sea arreglada, generaremos los salts de las contraseñas de todos los usuarios y tomaremos medidas adicionales para asegurarnos de que todas las cuentas sean más seguras en un futuro”, comentó LeMaitre.

Ironicamente, GameReaplys apoya la misión de Anonymous acerca de exponer los vínculos de corrupción entre negocios y gobiernos que resultan en propuestas legislativas como PROTECT-IP, las cuales amenazan la naturaleza de la web, dijo LeMaitre. “Tristemente, existen personas como _ecECus_ que dan a Anonymous y a otros hackers una mala reputación, ya que su meta no es ayudar, sino que son inmaduros y alimentan su propio ego.”

A pesar de la mala experiencia con Ececus, LeMaitre no pierde interés en colaborar con hackers en el futuro y los invitó a ayudar a localizar vulnerabilidades locales en GameReplays, pero de una manera responsable. “Desafortunadamente, debido a que tenemos recursos de desarrollo limitados, no podemos hacerlo solos, por lo tanto, cualquiera que nos ayude será debidamente reconocido,” comentó.

La actitud de LeMitre acerca de las auditorías de seguridad no sancionadas es similar a aquellas realizadas por Google, Mozilla, Facebook o Twitter; que dan crédito o inclusive recompensas económicas a hackers que encuentran vulnerabilidades en sus servicios y los reportan de forma privada.