Hacker fa trapelare 23 milioni di nomi utente e password del gioco per bambini Webkinz

Webkinz
Immagine: Webkinz, ZDNet

Un hacker ha fatto trapelare oggi i nomi utente e le password di quasi 23 milioni di giocatori di Webkinz World, un gioco online per bambini gestito dalla società canadese di giocattoli Ganz.

Il gioco Webkinz è stato lanciato nel 2005 come controparte online di una linea di peluche Ganz. Gli utenti potevano inserire un codice dal loro peluche sul sito Webkinz dove potevano giocare e gestire una versione del loro giocattolo sotto forma di un animale virtuale.

Il gioco è stato uno dei giochi online per bambini di maggior successo dell’ultimo decennio accanto al Club Penguin della Disney.

Tuttavia, oggi, un hacker anonimo ha pubblicato una parte del database del gioco su un noto forum di hacking. ZDNet ha ottenuto una copia del file trapelato con l’aiuto del servizio di monitoraggio delle violazioni dei dati Under the Breach.

Il file da 1 GB caricato online conteneva 22.982.319 coppie di nomi utente e password, con le password criptate con l’algoritmo MD5-Crypt.

webkinz-data.png
Image: ZDNet

Fonti familiari con l’hack hanno detto a ZDNet che la violazione della sicurezza ha avuto luogo all’inizio di questo mese.

L’hacker avrebbe ottenuto l’accesso al database del gioco utilizzando una vulnerabilità SQL injection presente in uno dei moduli web del sito.

ZDNet ha appreso che i dettagli sulla vulnerabilità sono circolati online prima della fuga di notizie di oggi per mesi, sia sui forum di hacking che sui gruppi di chat IM online.

webkinz-sql.png
Image: ZDNet

Ci è stato detto che oltre alle coppie di username e password, gli hacker sono anche riusciti ad ottenere le versioni hash degli indirizzi email dei genitori; tuttavia, questi dati non sono stati divulgati.

Le fonti ci hanno detto che lo staff di Webkinz ha rilevato l’intrusione e patchato il punto di ingresso degli hacker nei loro sistemi.

In una pagina di supporto sul suo sito web, Webkinz dice che archivia gli account che sono stati inattivi per più di 18 mesi.

“Per motivi di sicurezza, durante il processo di archiviazione, rimuoviamo tutte le informazioni associate all’account oltre a nome utente e password”, ha detto la società. “Si prega di notare che se un account rimane inattivo per un periodo di 7 anni, Ganz lo cancellerà.”

Al momento della scrittura, non è chiaro se gli hacker hanno rubato questi account “archiviati”, o se i dati trapelati appartengono a utenti attualmente attivi.

ZDNet ha contattato Ganz per un commento e per notificare all’azienda i dati trapelati. Un portavoce di Webkinz ha detto a ZDNet che erano, infatti, a conoscenza di un attacco contro il suo sito web, ma non erano a conoscenza del fatto che fosse riuscito.La società ha detto che da quando hanno rilevato l’attacco hanno “aggiunto più sicurezza all’area dei genitori.”

“Webkinz non ha mai chiesto cognomi, numeri di telefono o indirizzi e tutte le transazioni avvengono attraverso il nostro eStore, che ha i propri server e account, che non sono in alcun modo accessibili attraverso Webkinz.” un portavoce ha detto a ZDNet. “Quindi, anche se qualcuno dovesse decifrare una password, non ci sono informazioni di valore sugli account al di là dei dati di gioco stessi.”

“Un certo numero di anni fa abbiamo fatto sforzi extra per migliorare le nostre tecniche di crittografia, in modo che se un giorno venisse un giorno in cui qualsiasi dato dovesse uscire, sarebbe protetto. Attualmente stiamo rivedendo tutti i punti di entrata nei nostri dati per assicurarci che un attacco simile non funzioni altrove. Stiamo anche cercando di capire se i dati trapelati sono recenti o di valore. Se riteniamo che qualche account di giocatore sia effettivamente a rischio, prenderemo ulteriori misure per forzare il cambio di password”, ha detto la società.