Hacker entwendet 23 Millionen Benutzernamen und Passwörter von Webkinz-Kinderspiel

admin
Webkinz
Bild: Webkinz, ZDNet

Ein Hacker hat heute die Benutzernamen und Passwörter von fast 23 Millionen Spielern von Webkinz World, einem Online-Kinderspiel des kanadischen Spielzeugherstellers Ganz, geleakt.

Das Webkinz-Spiel wurde 2005 als Online-Gegenstück zu einer Reihe von Ganz-Plüschtieren eingeführt. Benutzer konnten einen Code ihres Plüschtiers auf der Webkinz-Website eingeben, wo sie eine Version ihres Spielzeugs in Form eines virtuellen Haustiers spielen und verwalten konnten.

Das Spiel war neben Disneys Club Penguin eines der erfolgreichsten Online-Kinderspiele des letzten Jahrzehnts.

Heute jedoch hat ein anonymer Hacker einen Teil der Datenbank des Spiels in einem bekannten Hacking-Forum veröffentlicht. ZDNet hat mit Hilfe des Dienstes Under the Breach eine Kopie der durchgesickerten Datei erhalten.

Die 1 GB große Datei, die online hochgeladen wurde, enthielt 22.982.319 Paare von Benutzernamen und Passwörtern, wobei die Passwörter mit dem MD5-Crypt-Algorithmus verschlüsselt waren.

webkinz-data.png
Image: ZDNet

Quellen, die mit dem Hack vertraut sind, haben gegenüber ZDNet erklärt, dass der Sicherheitsverstoß Anfang des Monats stattfand.

Der Hacker soll sich über eine SQL-Injection-Schwachstelle in einem Webformular der Website Zugang zur Datenbank des Spiels verschafft haben.

ZDNet hat erfahren, dass Details über die Schwachstelle schon vor dem heutigen Leck monatelang online kursierten, sowohl in Hackerforen als auch in Online-IM-Chatgruppen.

webkinz-sql.png
Image: ZDNet

Neben den Paaren von Benutzernamen und Passwörtern gelang es den Hackern auch, gehashte Versionen der E-Mail-Adressen der Eltern zu erlangen; diese Daten wurden jedoch nicht veröffentlicht.

Quellen sagten uns, dass die Webkinz-Mitarbeiter das Eindringen in das System entdeckt und die Eintrittspforte des Hackers gepatcht hätten.

Auf einer Support-Seite auf der Webkinz-Website heißt es, dass Webkinz Konten archiviert, die seit mehr als 18 Monaten inaktiv sind.

„Aus Sicherheitsgründen entfernen wir während des Archivierungsprozesses alle Informationen, die mit dem Konto verbunden sind, mit Ausnahme des Benutzernamens und des Passworts“, so das Unternehmen. „Bitte beachten Sie, dass ein Konto, das über einen Zeitraum von 7 Jahren inaktiv bleibt, von Ganz gelöscht wird.“

Zum Zeitpunkt der Erstellung dieses Artikels ist unklar, ob Hacker diese „archivierten“ Konten gestohlen haben oder ob die durchgesickerten Daten zu derzeit aktiven Nutzern gehören.

ZDNet hat sich mit Ganz in Verbindung gesetzt, um einen Kommentar abzugeben und das Unternehmen über die durchgesickerten Daten zu informieren. Ein Sprecher von Webkinz sagte gegenüber ZDNet, dass man sich in der Tat eines Angriffs auf die Website bewusst sei, aber nicht wisse, dass dieser erfolgreich gewesen sei.“

„Webkinz hat nie nach Nachnamen, Telefonnummern oder Adressen gefragt und alle Transaktionen laufen über unseren eStore, der seine eigenen Server und Konten hat, die in keiner Weise über Webkinz zugänglich sind“, so ein Sprecher gegenüber ZDNet. „Selbst wenn also jemand ein Passwort entschlüsseln sollte, gibt es auf den Konten keine Informationen von Wert, die über die eigentlichen Spieldaten hinausgehen.“

„Vor einigen Jahren haben wir zusätzliche Anstrengungen unternommen, um unsere Verschlüsselungstechniken zu verbessern, damit die Daten geschützt sind, falls sie eines Tages doch nach außen gelangen sollten. Wir überprüfen derzeit alle Punkte, an denen wir in unsere Daten eindringen können, um sicherzustellen, dass ein ähnlicher Angriff nicht auch anderswo funktioniert. Wir versuchen auch herauszufinden, ob die durchgesickerten Daten neu oder von Wert sind. Wenn wir das Gefühl haben, dass irgendwelche Spielerkonten tatsächlich gefährdet sind, werden wir weitere Schritte unternehmen, um Passwortänderungen zu erzwingen“, so das Unternehmen.