Hacker lekt 23 miljoen gebruikersnamen en wachtwoorden van Webkinz-kinderspel

admin
Webkinz
Afbeelding: Webkinz, ZDNet

Een hacker heeft vandaag de gebruikersnamen en wachtwoorden gelekt van bijna 23 miljoen spelers van Webkinz World, een online kinderspel dat wordt beheerd door het Canadese speelgoedbedrijf Ganz.

Het Webkinz-spel werd in 2005 gelanceerd als de online tegenhanger van een lijn Ganz-pluchen speelgoed. Gebruikers konden een code van hun pluchen speelgoed invoeren op de Webkinz website waar ze een versie van hun speelgoed konden spelen en beheren in de vorm van een virtueel huisdier.

Het spel is een van de meest succesvolle online kinderspellen van het afgelopen decennium geweest, naast Disney’s Club Penguin.

Heden heeft een anonieme hacker echter een deel van de database van het spel op een bekend hacking forum geplaatst. ZDNet heeft een kopie van het gelekte bestand verkregen met behulp van data breach monitoring service Under the Breach.

Het 1 GB grote bestand dat online is geüpload bevat 22.982.319 paren gebruikersnamen en wachtwoorden, waarbij de wachtwoorden zijn versleuteld met het MD5-Crypt algoritme.

webkinz-data.png
Image: ZDNet

Bronnen die bekend zijn met de hack hebben ZDNet verteld dat de beveiligingsinbreuk eerder deze maand plaatsvond.

De hacker zou toegang hebben gekregen tot de database van het spel door gebruik te maken van een SQL-injectiekwestie in een van de webformulieren van de website.

ZDNet heeft vernomen dat details over de kwetsbaarheid al maanden online circuleerden voor het lek van vandaag, zowel op hacking forums als op online IM chat groepen.

webkinz-sql.png
Image: ZDNet

We hebben vernomen dat de hackers er naast gebruikersnamen en wachtwoorden ook in geslaagd zijn om gehashte versies van de e-mailadressen van de ouders te bemachtigen; deze gegevens zijn echter niet uitgelekt.

Bronnen hebben ons verteld dat het Webkinz-personeel de inbraak heeft ontdekt en het toegangspunt van de hackers tot hun systemen heeft gepatcht.

In een ondersteuningspagina op zijn website zegt Webkinz dat het accounts archiveert die langer dan 18 maanden inactief zijn geweest.

“Om veiligheidsredenen verwijderen we tijdens het archiveringsproces alle informatie die aan het account is gekoppeld, behalve dan gebruikersnaam en wachtwoord,” aldus het bedrijf. “Houd er rekening mee dat als een account gedurende een periode van 7 jaar inactief blijft, Ganz dat account vervolgens zal verwijderen.”

Op het moment van schrijven is het onduidelijk of hackers deze “gearchiveerde” accounts hebben gestolen, of dat de gelekte gegevens behoren tot momenteel actieve gebruikers.

ZDNet heeft contact opgenomen met Ganz voor commentaar en om het bedrijf op de hoogte te stellen van de gelekte gegevens. Een Webkinz woordvoerder vertelde ZDNet dat zij, inderdaad, op de hoogte waren van een aanval op haar website, maar dat zij niet wisten dat het gelukt was.Het bedrijf zei dat zij, sinds zij de aanval ontdekten, “meer beveiliging hebben toegevoegd aan het Oudergedeelte.”

“Webkinz heeft nooit om achternamen, telefoonnummers of adressen gevraagd en alle transacties gebeuren via onze eStore, die zijn eigen servers en accounts heeft, die op geen enkele manier toegankelijk zijn via Webkinz.” vertelde een woordvoerder aan ZDNet. “Dus zelfs als iemand een wachtwoord zou ontcijferen, is er geen informatie van waarde op de accounts buiten de spelgegevens zelf.”

“Een aantal jaren geleden hebben we extra moeite gedaan om onze encryptietechnieken te verbeteren, zodat als er een dag zou komen dat er toch gegevens naar buiten zouden komen, deze beschermd zouden zijn. We bekijken momenteel alle toegangspunten tot onze gegevens om ervoor te zorgen dat een soortgelijke aanval elders niet zal werken. We proberen ook vast te stellen of de gelekte gegevens recent of van enige waarde zijn. Als we denken dat er spelersaccounts in gevaar zijn, zullen we verdere stappen ondernemen om wachtwoorden te veranderen,” aldus het bedrijf.