Cuando Twitter prohibió a Donald Trump y a otros usuarios de extrema derecha en Enero, muchos de esos usuarios se convirtieron en refugiados digitales que migraron a las aplicaciones de Parler o Gab, en búsqueda de un hogar mejor para ellos.
Días después, Parler fue pirateado y luego abandonado al ostracismo, por Amazon.
Ahora Gab, que heredó algunos de los usuarios desplazados de Parler, también ha sido gravemente pirateado.
Al parecer, se ha robado un enorme tesoro de su contenido, que incluye lo que parecen ser las contraseñas y comunicaciones privadas de sus usuarios.
El domingo por la noche, el grupo de estilo WikiLeaks Distributed Denial of Secrets reveló lo que llama “GabLeaks”, una colección de más de 70 gigabytes de datos de Gab que representan más de 40 millones de publicaciones.
DDoSecrets dice que un hacktivista que se identifica a sí mismo como «JaXpArO y My Little Anonymous Revival Project» extrajo esos datos de las bases de datos back-end de Gab en un esfuerzo por exponer a los usuarios de la plataforma en su mayoría de derecha.
La cofundadora de DDoSecrets, Emma Best, dice que los datos pirateados incluyen no solo todas las publicaciones y perfiles públicos de Gab, con la excepción de las fotos o videos subidos al sitio, sino también publicaciones y mensajes de grupos privados y cuentas individuales privadas, así como las contraseñas de los usuarios y las contraseñas de los grupos.
«Contiene prácticamente todo sobre Gab, incluidos los datos de los usuarios y las publicaciones privadas, todo lo que alguien necesita para realizar un análisis casi completo de los usuarios y el contenido de Gab», «Es otra mina de oro de la investigación para las personas que buscan milicias, neonazis, la extrema derecha, QAnon y todo lo que rodea al 6 de enero», escribió Best.
DDoSecrets dice que no está publicando los datos debido a su sensibilidad y la gran cantidad de información privada que contiene. En cambio, el grupo dice que lo compartirá selectivamente con periodistas, científicos sociales e investigadores.
Al parecer, los periodistas de la web de WIRED, han llegado a ver una muestra de los datos y parece contener realmente los perfiles individuales y grupales de los usuarios de Gab, sus descripciones y configuraciones de privacidad, publicaciones públicas y privadas y contraseñas.
El director ejecutivo de Gab, Andrew Torba, reconoció la infracción en un breve comunicado el domingo.
Las contraseñas para grupos privados no están encriptadas, lo que Torba dice que la plataforma revela a los usuarios cuando crean una. Las contraseñas de las cuentas de usuarios individuales parecen tener un hash criptográfico, una protección que puede ayudar a evitar que se vean comprometidas, pero el nivel de seguridad depende del esquema de hash utilizado y la solidez de la contraseña subyacente.
Entre los usuarios cuyas contraseñas hash parecían estar incluidas en los datos se encontraban los de Donald Trump, la congresista republicana y teórica de la conspiración de QAnon Marjorie Taylor Greene, el director ejecutivo de MyPillow y el teórico de la conspiración electoral Mike Lindell, y el presentador de radio de desinformación Alex Jones.
Según DDoSecrets: Best, el pirata informático dice que extrajeron los datos de Gab a través de una vulnerabilidad de inyección SQL en el sitio, un error web común en el que un campo de texto en un sitio no diferencia entre la entrada de un usuario y los comandos en el código del sitio.
Lo que permite a un pirata informático entrar e inmiscuirse en su base de datos SQL backend. A pesar de la referencia del hacker a un «Proyecto de avivamiento anónimo», no están asociados con el colectivo de hackers anónimos Anonymous, le dijeron a Best, pero sí «quieren representar a las masas anónimas que luchan contra los capitalistas y fascistas».
“Es otra mina de oro de la investigación para las personas que buscan milicias, neonazis, la extrema derecha, QAnon y todo lo que rodea al 6 de enero”.
Emma Best, DDoSecrets
En respuesta a la mención de WIRED de una vulnerabilidad de inyección de SQL, la declaración inicial de Torba señaló que «estábamos al tanto de una vulnerabilidad en esta área y la parcheamos la semana pasada. También estamos procediendo a realizar una auditoría de seguridad completa ». La publicación continuó afirmando que Gab no recopila información de identificación personal de sus usuarios, como números de teléfono, números de Seguro Social, fechas de nacimiento o información financiera y de salud.
«Los mensajes directos, solo estuvieron activos durante unas pocas semanas y actualmente no son una función compatible con el sitio, por lo que si de hecho se ha producido una infracción en ese dominio, esperamos que el número de cuentas afectadas sea bajo», añadió Torba.
Anda calentito el panorama, seguiremos atentos.. ?
Fuente: [Wired](https://www.wired.com/story/gab-hack-data-breach-ddosecrets)