Un hacker filtra 23 millones de nombres de usuario y contraseñas del juego infantil Webkinz

admin
Webkinz
Imagen: Webkinz, ZDNet

Un hacker ha filtrado hoy los nombres de usuario y las contraseñas de casi 23 millones de jugadores de Webkinz World, un juego infantil online gestionado por la empresa juguetera canadiense Ganz.

El juego Webkinz se lanzó en 2005 como la contrapartida online de una línea de peluches de Ganz. Los usuarios podían introducir un código de su peluche en el sitio web de Webkinz, donde podían jugar y gestionar una versión de su juguete en forma de mascota virtual.

El juego ha sido uno de los juegos infantiles online más exitosos de la última década junto al Club Penguin de Disney.

Sin embargo, hoy, un hacker anónimo ha publicado una parte de la base de datos del juego en un conocido foro de hacking. ZDNet ha obtenido una copia del archivo filtrado con la ayuda del servicio de monitorización de violaciones de datos Under the Breach.

El archivo de 1 GB subido a la red contenía 22.982.319 pares de nombres de usuario y contraseñas, con las contraseñas cifradas con el algoritmo MD5-Crypt.

webkinz-data.png
Imagen: ZDNet

Fuentes familiarizadas con el hackeo han dicho a ZDNet que la brecha de seguridad tuvo lugar a principios de este mes.

El hacker supuestamente accedió a la base de datos del juego utilizando una vulnerabilidad de inyección SQL presente en uno de los formularios web del sitio.

ZDNet ha sabido que los detalles sobre la vulnerabilidad llevaban meses circulando por Internet antes de la filtración de hoy, tanto en foros de hacking como en grupos de chat de mensajería instantánea online.

webkinz-sql.png
Imagen: ZDNet

Nos han dicho que, además de los pares de nombres de usuario y contraseñas, los hackers también lograron obtener versiones con hash de las direcciones de correo electrónico de los padres; sin embargo, estos datos no se han filtrado.

Las fuentes nos han dicho que el personal de Webkinz ha detectado la intrusión y ha parcheado el punto de entrada de los hackers en sus sistemas.

En una página de soporte en su sitio web, Webkinz dice que archiva las cuentas que han estado inactivas durante más de 18 meses.

«Por razones de seguridad, durante el proceso de archivo, eliminamos toda la información asociada a la cuenta que no sea entonces el nombre de usuario y la contraseña», dijo la compañía. «Por favor, ten en cuenta que si una cuenta permanece inactiva durante un periodo de 7 años, Ganz eliminará entonces esa cuenta.»

En el momento de escribir este artículo, no está claro si los hackers han robado estas cuentas «archivadas», o si los datos filtrados pertenecen a usuarios actualmente activos.

ZDNet se ha puesto en contacto con Ganz para comentar y notificar a la compañía los datos filtrados. Un portavoz de Webkinz dijo a ZDNet que, efectivamente, estaban al tanto de un ataque contra su sitio web, pero no eran conscientes de que había tenido éxito.La compañía dijo que desde que detectaron el ataque «añadieron más seguridad al Área de Padres».

«Webkinz nunca ha pedido apellidos, números de teléfono o direcciones y todas las transacciones ocurren a través de nuestra eStore, que tiene sus propios servidores y cuentas, que de ninguna manera son accesibles a través de Webkinz», dijo un portavoz a ZDNet. «Así que incluso si alguien descifrara una contraseña, no hay información de valor en las cuentas más allá de los datos del juego en sí».»

«Hace varios años hicimos esfuerzos adicionales para mejorar nuestras técnicas de encriptación, de modo que si llegara un día en el que algún dato saliera a la luz, estaría protegido. Actualmente estamos revisando todos los puntos de entrada a nuestros datos para asegurarnos de que un ataque similar no funcione en otros lugares. También estamos tratando de discernir si los datos filtrados son recientes o tienen algún valor. Si creemos que alguna cuenta de jugador está realmente en riesgo, tomaremos más medidas para forzar el cambio de contraseñas», dijo la compañía.