Hacker 23 millió felhasználónevet és jelszót szivárogtatott ki a Webkinz gyerekjátékból
Egy hacker ma kiszivárogtatta a Ganz kanadai játékgyártó cég által kezelt Webkinz World online gyermekjáték közel 23 millió játékosának felhasználóneveit és jelszavait.
A Webkinz játék 2005-ben indult a Ganz plüssjátékok online megfelelőjeként. A felhasználók a plüssjátékuk kódját adhatták meg a Webkinz weboldalán, ahol játszhattak és kezelhették játékuk egy virtuális háziállat formájában megjelenő változatát.
A játék az elmúlt évtized egyik legsikeresebb online gyermekjátéka volt a Disney Club Penguin mellett.
Ma azonban egy névtelen hacker a játék adatbázisának egy részét közzétette egy ismert hackerfórumon. A ZDNet az Under the Breach nevű adatvédelmi incidensfigyelő szolgáltatás segítségével jutott hozzá a kiszivárgott fájl másolatához.
Az internetre feltöltött 1 GB-os fájl 22 982 319 felhasználónév- és jelszópárt tartalmazott, a jelszavakat MD5-Crypt algoritmussal titkosították.
A hackelést ismerő források a ZDNetnek elmondták, hogy a biztonsági résre a hónap elején került sor.
A hacker állítólag a weboldal egyik webes űrlapjában található SQL-injekciós sebezhetőség segítségével jutott hozzá a játék adatbázisához.
AZDNet úgy értesült, hogy a sebezhetőséggel kapcsolatos részletek már hónapokkal a mai kiszivárgás előtt is keringtek az interneten, mind hackerfórumokon, mind online IM csevegőcsoportokban.
Azt mondták, hogy a felhasználónév-jelszó párokon kívül a hackerek sikeresen megszerezték a szülők e-mail címeinek hashedelt változatát is; ezek az adatok azonban nem szivárogtak ki.
A források szerint a Webkinz munkatársai észlelték a behatolást, és befoltozták a hacker behatolási pontját a rendszerükbe.
A Webkinz a weboldalán található támogatási oldalon azt írja, hogy archiválja a több mint 18 hónapja inaktív fiókokat.
“Biztonsági okokból az archiválási folyamat során eltávolítunk minden, a fiókhoz kapcsolódó információt, kivéve a felhasználónevet és a jelszót” – közölte a vállalat. “Kérjük, vegye figyelembe, hogy ha egy fiók 7 évig inaktív marad, a Ganz ezt követően törli azt a fiókot.”
A cikk írásakor nem világos, hogy hackerek lopták-e el ezeket az “archivált” fiókokat, vagy a kiszivárgott adatok jelenleg aktív felhasználókéi.”
AZDNet megkereste a Ganzot, hogy kommentálja a kiszivárgott adatokat és értesítse a vállalatot. A Webkinz szóvivője a ZDNetnek elmondta, hogy valóban tudtak a weboldaluk elleni támadásról, de nem tudták, hogy az sikeres volt-e. A vállalat szerint a támadás észlelése óta “nagyobb biztonságot adtak a szülői területnek.”
“A Webkinz soha nem kért vezetéknevet, telefonszámot vagy címet, és minden tranzakció az eStore-on keresztül történik, amelynek saját szerverei és fiókjai vannak, amelyek semmilyen módon nem érhetők el a Webkinz-en keresztül” – mondta a szóvivő a ZDNetnek. “Tehát még ha valaki meg is fejtené a jelszót, a játékadatokon kívül semmilyen értékes információ nem található a fiókokon.”
“Néhány évvel ezelőtt extra erőfeszítéseket tettünk a titkosítási technikáink tökéletesítésére, hogy ha eljönne a nap, amikor bármilyen adat mégis kikerülne, az védve legyen. Jelenleg felülvizsgáljuk az adatainkhoz való hozzáférés minden pontját, hogy biztosítsuk, hogy egy hasonló támadás máshol nem fog működni. Azt is megpróbáljuk megállapítani, hogy a kiszivárgott adatok frissek-e vagy bármilyen értékűek. Ha úgy érezzük, hogy bármelyik játékosfiók valóban veszélyben van, további lépéseket fogunk tenni a jelszóváltoztatás kikényszerítése érdekében” – közölte a vállalat.