El E3 ha muerto y no por las razones que imaginas

En medio del debate sobre la pérdida de interés mediático que persigue desde hace años al E3, el acontecimiento sobre videojuegos más importante del mundo, una vulnerabilidad en la seguridad se suma a los problemas a los que se enfrenta el evento. Una hoja de cálculo con información de más de 2000 periodistas y profesionales de la industria estuvo disponible para descargar por cualquier usuario sin necesidad de conocimientos sobre informática con solo acceder a la página web. La filtración supone una fuga masiva de datos personales por la que ESA (Entertainment Software Association), la asociación que organiza cada año la feria angelina, podría afrontar graves consecuencias en los juzgados.

Pese a que han eliminado el enlace, su difusión a través de diversos foros de Internet ya resulta imparable. En el documento figuran nombres, números de teléfonos personales e incluso direcciones postales de multitud de periodistas freelance, inversores y profesionales del sector. Se trata de un hecho preocupante por el que miles de personas quedan expuestas a cualquier tipo de amenaza o uso ilegítimo de sus datos privados.

E3-ESA

«En la web pública del E3 había una página que llevaba a un enlace titulado ‘Lista de medios registrados’. Al hacer clic se descargó un archivo que incluía los nombres, direcciones, teléfonos y publicaciones de más de 2000 miembros de la prensa», contaba desconcertada la periodista Sophia Narwitz en un vídeo publicado en su canal de Youtube. Ella fue la primera que se percató del preocupante hallazgo y lo puso en conocimiento de la ESA. Sin embargo, no fue suficiente. «Contacté con ellos por teléfono a los 30 minutos de tener esta información. Preocupada de que eso no fuese suficiente, también les envié un correo electrónico, además de hablar con varios periodistas para que se diesen cuenta de lo que estaba ocurriendo», explica a Kotaku.

Desde la asociación se apresuraron a eliminar la página en cuestión, pero el archivo aún seguía en los servidores. Es así como la periodista compartió con sus fans el vídeo creyendo que ya no había nada por lo que temer. Por teléfono le aseguraron que habían corregido el fallo, pero si accedías a la dirección a través de la caché almacenada de la página podías descargar el documento. Muchos periodistas fueron conscientes de lo que estaba ocurriendo en el instante en el que empezaron a recibir correos electrónicos de desconocidos y llamadas anónimas amenazándolos de muerte. Para ellos cualquier solución ya llega tarde. Pese al posterior comunicado de la ESA en el que reconocen de forma sucinta que se trata de un fallo de vulnerabilidad, no han ofrecido detalles sobre por qué ha ocurrido.

Resulta extraño que una organización tan relevante que lleva gestionando la comunicación con los asistentes durante más de 20 años no subiese la hoja de cálculo protegida con contraseña. En el mensaje que han recibido los afectados explican cuál fue la línea de actuación: «Una vez notificado, dimos inmediatamente los pasos necesarios para proteger estos datos y eliminar ese enlace, el cual ya no está disponible. Lamentamos este suceso y nos aseguraremos de que no vuelve a ocurrir».

El comunicado se ha considerado insuficiente para justificar un error por el que es probable que se emprendan acciones legales. Hasta el momento ningún responsable ha querido responder a por qué los archivos se subieron sin protección, durante cuánto tiempo estuvieron disponibles para el público o si en el pasado habían trabajado de la misma forma. La lentitud en las acciones para evitar que la filtración se propagase y la negligencia en una asociación que opera con datos de miles de profesionales cada año pone entre las cuerdas la confianza en el evento. ¿Cuántos de ellos querrán volver a la feria ante la incertidumbre de que su información personal quede comprometida? No cabe duda de que el E3 tiene los días contados.

Actualización (06/08/19): La ESA ha confirmado que no solo se filtró la información de miles de personas que asistieron al E3 2019, sino también de los que acudieron a la edición de 2004 y 2006. Los afectados han recibido un mensaje de la asociación confirmando la noticia y cuyo contenido reproducimos a continuación:

«El 2 de agosto, la ESA se enteró de que personas ajenas a los usuarios autorizados podían acceder a un archivo confidencial que contenía la información de contacto de los titulares de medios acreditados para el E3 2019. El archivo estaba alojado en una sección de la página web del E3 protegida con contraseña destinada solo a expositores. Tan pronto como nos enteramos de este problema, tomamos medidas inmediatas. Eliminamos el archivo del sitio web, deshabilitamos el acceso al portal de expositores y notificamos a los afectados. Además, llevamos a cabo un proceso para localizar y eliminar cachés públicos y privados y otras ubicaciones en línea de acceso público que contenían el archivo.

En el curso de nuestra investigación, nos percatamos de que las listas de contactos de medios de E3 2004 y 2006 se almacenaron en caché en un sitio de archivos de terceros en Internet. Estos no eran archivos alojados en los servidores de la ESA o en la página web actual. Emprendimos acciones de manera inmediata para eliminarlos y hoy recibimos confirmación de que todos fueron retirados del sitio de terceros. También notificamos en el acto a las personas afectadas. La información general de los asistentes no se vio afectada en esta situación. Estamos trabajando con nuestros socios, asesores externos y expertos independientes para investigar qué condujo a esta situación y mejorar nuestros esfuerzos en torno a la seguridad. Todavía estamos investigando el asunto para obtener una comprensión completa de los hechos y circunstancias que llevaron al problema».

E3 Leak ESA

¿Te ha gustado? ¡Pues apóyanos en Patreon!
Become a patron at Patreon!

Deja un comentario