La plataforma de lectura y aplicación móvil para acceder a historias de manga y anime Mangatoon ha sufrido una brecha de seguridad que ha dejado expuesta información sensible de más de 20 millones de cuentas de usuarios.
La brecha ha sido notificada por Have I Been Pwned a través de Twitter. "Mangatoon tuvo 23 millones de cuentas violadas en mayo. La violación expuso nombres, direcciones de correo electrónico, géneros, identidades de cuentas de redes sociales, tokens de autenticación de inicios de sesión y hash de contraseñas MD5", han compartido.
El propietario de HIPB, Troy Hunt, asegura haberse tratado de ponerse en contacto con la empresa sin éxito para comentarle el problema. Tras enviarle varios correos electrónicos y no obtener respuesta, decidió hacer público su hallazgo.
No obstante, Hunt comenta que cambiaron las credenciales tras su aviso, aunque "nunca se lo comunicaron a sus clientes y nunca respondieron".
La violación de datos habría sido llevada a cabo por el conocido actor de amenazas 'pompompurin', el cual habría robado la base de datos de un servidor de Elacticsearch que usaba credenciales débiles.
Mangatoon no ha esclarecido qué ha ocurrido
En un comunicado publicado en su página web Mangatoon pide disculpas y trata, en parte, de quitar hierro al asunto. En ningún momento habla de cuantos usuarios podrían haber sido afectados o qué datos se habrían filtrado.
En el escrito Mangatoon asegura que aquellos usuarios que entran en la herramienta mediante cuentas de redes sociales no tienen de qué preocuparse, ya que a través de esta vía no almacenan "información de ningún tipo".
Además perjura que los usuarios que inician sesión a través del correo electrónico tampoco tendrían nada que temer, ya que "la contraseña está encriptada y no se verá afectada bajo ninguna circunstancia". También afirma que en este caso no registran ninguna información confidencial relacionada con los pagos. No obstante, a estos les recomienda que cambien la contraseña de su cuenta.
"La seguridad de la información de los usuarios es nuestra mayor preocupación y nos disculpamos por el impacto de este incidente. El sistema de seguridad de inicio de sesión se ha actualizado ampliamente lo más rápido posible para garantizar completamente la seguridad de la información y los datos de los clientes. Pedimos disculpas nuevamente y redoblaremos nuestros esfuerzos para servir bien a cada usuario", concluye la compañía.