Gab, una red social que heredó un importante número de usuarios de Parler tras el asalto al Capitolio, ha sido hackeada. Según reporta WIRED, entre la cuentas comprometidas se encuentran las del expresidente de los Estados Unidos, Donald Trump, y la del CEO del servicio de microblogging, Andrew Torba. Se trata de un paquete de 70 gigabytes de contenido, incluidas comunicaciones privadas y contraseñas.
Una organización llamada Distributed Denial of Secrets, conocida como "la sucesora de WikiLeaks", ha revelado que un activista ha logrado extraer de la base de datos de Gab más de 40 millones de publicaciones públicas y privadas con el objetivo de "exponer a los usuarios de la plataforma".
Gab, al igual que Parler, recibió una oleada de nuevos usuarios de extrema derecha tras los disturbios en el Capitolio. Desde DDoSecrets aseguran que, si bien los datos son "extremadamente importantes para comprender los eventos recientes y actuales", no serán publicados. En cambio, los ofrecerán selectivamente a periodistas e investigadores.
WIRED, que tuvo acceso a una muestra de los datos, dice que parecen coincidir con lo descripto por DDoSecrets. Es decir, contienen datos de perfiles, configuraciones de privacidad, publicaciones privadas y contraseñas. Por su parte, el CEO de Gab, Andrew Torba, dijo en un comunicado que no tienen ninguna confirmación independiente de que ese hackeo haya ocurrido. Además, aclaró que gran parte de la información de la red social "ya es pública".
Una inyección SQL, la clave del ataque a Gab
Los hackers habrían accedido a la base de datos de Gab mediante una inyección SQL. Se trata de una vulnerabilidad en la que el sitio web no diferencia entre la entrada de un usuario y código malicioso. De esta forma, los atacantes habrían accedido a los mencionados datos, entre ellos, las contraseñas de Donald Trump y de la congresista republicana, Marjorie Taylor Greene.
El CEO de Gab asegura que, si la filtración se ha producido, es imposible que se revelen las verdaderas contraseñas ya que utilizan el método criptográfico "hash". Es decir, los servidores no almacenan las contraseñas como tales, sino un extenso grupo de números y letras que en teoría no puede descifrarse y no sirven para iniciar sesión.