Scholastic: un hacker vulnera la base de datos del editor de Harry Potter
Una sola cuenta comprometida resultó en una fuga masiva de información.
Scholastic fue víctima de un ciberataque que resultó en el robo de datos de aproximadamente 8 millones de usuarios. Un hacker bajo el seudónimo de «Parasocial» afirmó haber accedido a la información a través de una cuenta de empleado comprometida.
Scholastic proporciona recursos educativos desde la etapa preescolar hasta el 12.º grado, además de publicar libros populares como «Harry Potter», «Los Juegos del Hambre» y «El ganso Goos».
La filtración incluyó nombres, direcciones de correo electrónico, números de teléfono y direcciones residenciales de usuarios en Estados Unidos. El incidente afectó los datos de padres, maestros y administradores. En particular, 1 048 576 registros están relacionados con contactos en el ámbito educativo, y el total de correos electrónicos únicos alcanzó 4 247 768. Los especialistas verificaron la autenticidad de las filtraciones comparando los datos con perfiles en redes sociales.
Según el hacker, utilizó software malicioso para obtener acceso al portal de empleados de Scholastic. Señaló que no pudo descargar más datos debido a una limitación en la exportación impuesta por el servidor de Scholastic. Como prueba del ataque, el hacker proporcionó a los medios una captura de pantalla del portal que muestra acceso a datos de empleados, cuotas de ventas y gestión de inventarios.
Captura de pantalla con datos personales de usuarios (Daily Dot)
Parasocial enfatizó que actuó por aburrimiento y que no tiene intención de publicar los datos de forma abierta, aunque criticó la seguridad de la compañía. El hacker instó a Scholastic a implementar autenticación multifactor (MFA).
Un detalle curioso fue la mención de la comunidad furry «the puppygirl hacker polycule», con la cual Parasocial se identifica. Este movimiento incluye personas interesadas en personajes animales antropomórficos. Uno de estos grupos, SiegedSec, ha estado involucrado en actividades de hacktivismo, aunque Parasocial niega cualquier conexión con ellos.
Cabe destacar que, en julio, los hacktivistas de SiegedSec vulneraron la base de datos de un centro de análisis ultraconservador , The Heritage Foundation. Tras filtrar 2 GB de datos confidenciales, el grupo anunció inesperadamente el cese de sus actividades.
Scholastic inició una investigación sobre el incidente, destacando que garantizar la seguridad de los datos de los usuarios es una prioridad para la compañía.
Las huellas digitales son tu debilidad, y los hackers lo saben