Hackerům uniklo 23 milionů uživatelských jmen a hesel z dětské hry Webkinz

admin
Webkinz
Obrázek: Webkinz, ZDNet

Hackerovi dnes unikla uživatelská jména a hesla téměř 23 milionů hráčů dětské online hry Webkinz World, kterou spravuje kanadská hračkářská společnost Ganz.

Hra Webkinz byla spuštěna v roce 2005 jako online obdoba řady plyšových hraček Ganz. Uživatelé mohli zadat kód ze své plyšové hračky na webové stránky Webkinz, kde si mohli hrát a spravovat verzi své hračky v podobě virtuálního zvířátka.

Hra byla vedle Disneyho Club Penguin jednou z nejúspěšnějších online dětských her posledního desetiletí.

Dnes však anonymní hacker zveřejnil část databáze hry na známém hackerském fóru. ZDNet získal kopii uniklého souboru s pomocí služby pro monitorování úniků dat Under the Breach.

Soubor o velikosti 1 GB nahraný online obsahoval 22 982 319 párů uživatelských jmen a hesel, přičemž hesla byla zašifrována algoritmem MD5-Crypt.

webkinz-data.png
Obrázek: ZDNet

Zdroje obeznámené s hackerským útokem sdělily serveru ZDNet, že k narušení bezpečnosti došlo začátkem tohoto měsíce.

Hacker údajně získal přístup do databáze hry pomocí zranitelnosti SQL injection přítomné v jednom z webových formulářů.

ZDNet zjistil, že podrobnosti o zranitelnosti kolovaly na internetu před dnešním únikem již několik měsíců, a to jak na hackerských fórech, tak v online chatovacích skupinách IM.

webkinz-sql.png Obrázek: ZDNet

Dozvěděli jsme se, že kromě dvojic uživatelských jmen a hesel se hackerům podařilo získat také zaheslované verze e-mailových adres rodičů; tyto údaje však neunikly.

Zdroje nám sdělily, že zaměstnanci společnosti Webkinz průnik zjistili a místo průniku hackerů do svých systémů opravili.

Na stránce podpory na svých webových stránkách společnost Webkinz uvádí, že archivuje účty, které jsou neaktivní déle než 18 měsíců.

„Z bezpečnostních důvodů během procesu archivace odstraňujeme všechny informace spojené s účtem kromě tehdejšího uživatelského jména a hesla,“ uvedla společnost. „Vezměte prosím na vědomí, že pokud účet zůstane neaktivní po dobu 7 let, společnost Ganz následně tento účet odstraní.“

V době psaní tohoto článku není jasné, zda hackeři tyto „archivované“ účty ukradli, nebo zda uniklá data patří aktuálně aktivním uživatelům.

ZDNet kontaktoval společnost Ganz s žádostí o komentář a o upozornění na uniklá data. Mluvčí společnosti Webkinz sdělil ZDNet, že o útoku na své webové stránky skutečně vědí, ale nejsou si vědomi toho, že by byl úspěšný. společnost uvedla, že od doby, kdy útok zjistila, „přidala do oblasti rodičů větší zabezpečení.“

„Webkinz nikdy nežádal o příjmení, telefonní čísla nebo adresy a všechny transakce probíhají prostřednictvím našeho elektronického obchodu, který má své vlastní servery a účty, které nejsou v žádném případě přístupné prostřednictvím Webkinz,“ řekl mluvčí společnosti ZDNet. „Takže i kdyby se někomu podařilo dešifrovat heslo, na účtech nejsou žádné cenné informace kromě samotných herních dat.“

„Před několika lety jsme vynaložili mimořádné úsilí na zlepšení našich technik šifrování, takže pokud by nastal den, kdy se nějaká data dostanou ven, budou chráněna. V současné době prověřujeme všechny body vstupu do našich dat, abychom zajistili, že podobný útok nebude fungovat jinde. Snažíme se také rozeznat, zda jsou uniklá data aktuální nebo zda mají nějakou hodnotu. Pokud budeme mít pocit, že jsou některé hráčské účty skutečně ohroženy, podnikneme další kroky k vynucení změny hesla,“ uvedla společnost.