Un pirate informatique laisse échapper 23 millions d’identifiants et de mots de passe du jeu pour enfants Webkinz

Webkinz
Image : Webkinz, ZDNet

Un pirate informatique a divulgué aujourd’hui les noms d’utilisateur et les mots de passe de près de 23 millions de joueurs de Webkinz World, un jeu en ligne pour enfants géré par la société canadienne de jouets Ganz.

Le jeu Webkinz a été lancé en 2005 comme le pendant en ligne d’une gamme de peluches Ganz. Les utilisateurs pouvaient entrer un code de leur peluche sur le site Webkinz où ils pouvaient jouer et gérer une version de leur jouet sous la forme d’un animal de compagnie virtuel.

Le jeu a été l’un des jeux en ligne pour enfants les plus réussis de la dernière décennie à côté du Club Penguin de Disney.

Cependant, aujourd’hui, un pirate anonyme a publié une partie de la base de données du jeu sur un forum de piratage bien connu. ZDNet a obtenu une copie du fichier divulgué avec l’aide du service de surveillance des violations de données Under the Breach.

Le fichier de 1 Go mis en ligne contenait 22 982 319 paires de noms d’utilisateur et de mots de passe, les mots de passe étant cryptés avec l’algorithme MD5-Crypt.

webkinz-data.png
Image : ZDNet

Des sources familières avec le piratage ont déclaré à ZDNet que la faille de sécurité a eu lieu au début du mois.

Le pirate aurait eu accès à la base de données du jeu en utilisant une vulnérabilité d’injection SQL présente dans l’un des formulaires web du site.

ZDNet a appris que des détails sur cette vulnérabilité circulaient en ligne avant la fuite d’aujourd’hui depuis des mois, à la fois sur des forums de piratage et sur des groupes de discussion de messagerie instantanée en ligne.

webkinz-sql.png
Image : ZDNet

On nous a dit qu’en plus des paires de noms d’utilisateur et de mots de passe, les pirates ont également réussi à obtenir des versions hachées des adresses e-mail des parents ; cependant, ces données n’ont pas été divulguées.

Des sources nous ont dit que le personnel de Webkinz avait détecté l’intrusion et patché le point d’entrée des pirates dans leurs systèmes.

Dans une page d’assistance sur son site web, Webkinz dit archiver les comptes inactifs depuis plus de 18 mois.

« Pour des raisons de sécurité, pendant le processus d’archivage, nous supprimons toutes les informations associées au compte autres que le nom d’utilisateur et le mot de passe ensuite », a déclaré la société. « Veuillez noter que si un compte reste inactif pendant une période de 7 ans, Ganz supprimera alors ce compte. »

A l’heure où nous écrivons ces lignes, on ne sait pas si les pirates ont volé ces comptes « archivés », ou si les données divulguées appartiennent à des utilisateurs actuellement actifs.

ZDNet a contacté Ganz pour obtenir des commentaires et notifier l’entreprise des données divulguées. Un porte-parole de Webkinz a déclaré à ZDNet qu’ils étaient, en effet, au courant d’une attaque contre son site Web, mais n’étaient pas au courant qu’elle avait réussi.La société a déclaré que depuis qu’ils ont détecté l’attaque, ils ont « ajouté plus de sécurité à l’Espace Parents. »

« Webkinz n’a jamais demandé de noms de famille, de numéros de téléphone ou d’adresses et toutes les transactions se passent par notre eStore, qui a ses propres serveurs et comptes, qui ne sont en aucun cas accessibles par Webkinz. » a déclaré un porte-parole à ZDNet. « Ainsi, même si quelqu’un parvenait à décrypter un mot de passe, il n’y a aucune information de valeur sur les comptes en dehors des données du jeu lui-même. »

« Il y a plusieurs années, nous avons fait des efforts supplémentaires pour améliorer nos techniques de cryptage, afin que si un jour des données venaient à sortir, elles soient protégées. Nous passons actuellement en revue tous les points d’entrée de nos données pour nous assurer qu’une attaque similaire ne fonctionnera pas ailleurs. Nous essayons également de discerner si les données qui ont fuité sont récentes ou ont une quelconque valeur. Si nous estimons que des comptes de joueurs sont réellement en danger, nous prendrons d’autres mesures pour forcer les changements de mot de passe », a déclaré la société.