Haker wyciekły 23 miliony nazw użytkowników i haseł z gry dla dzieci Webkinz

admin
Webkinz
Image: Webkinz, ZDNet

Haker wyciekł dziś nazwy użytkowników i hasła prawie 23 milionów graczy Webkinz World, internetowej gry dla dzieci zarządzanej przez kanadyjską firmę zabawkarską Ganz.

Gra Webkinz wystartowała w 2005 roku jako internetowy odpowiednik linii pluszowych zabawek Ganz. Użytkownicy mogli wprowadzić kod ze swojej pluszowej zabawki na stronie Webkinz, gdzie mogli grać i zarządzać wersją swojej zabawki w postaci wirtualnego zwierzaka.

Gra była jedną z najbardziej udanych gier online dla dzieci w ostatniej dekadzie obok Disney’s Club Penguin.

Jednakże dzisiaj anonimowy haker opublikował część bazy danych gry na znanym forum hakerskim. ZDNet uzyskał kopię wyciekłego pliku z pomocą serwisu monitorującego naruszenia danych Under the Breach.

Plik o rozmiarze 1 GB zamieszczony online zawierał 22 982 319 par nazw użytkowników i haseł, przy czym hasła były zaszyfrowane algorytmem MD5-Crypt.

webkinz-data.png
Image: ZDNet

Źródła zaznajomione z włamaniem powiedziały ZDNet, że naruszenie bezpieczeństwa miało miejsce na początku tego miesiąca.

Haker rzekomo uzyskał dostęp do bazy danych gry, wykorzystując lukę SQL injection obecną w jednym z formularzy internetowych witryny.

ZDNet dowiedział się, że szczegóły dotyczące luki krążyły w sieci przed dzisiejszym wyciekiem od miesięcy, zarówno na forach hakerskich, jak i na grupach czatowych online.

webkinz-sql.png
Obraz: ZDNet

Powiedziano nam, że oprócz par nazw użytkowników i haseł, hakerom udało się również uzyskać hashowane wersje adresów e-mail rodziców; jednak te dane nie wyciekły.

Źródła powiedziały nam, że pracownicy Webkinz wykryli włamanie i załatali punkt wejścia hakerów do ich systemów.

Na stronie pomocy technicznej Webkinz twierdzi, że archiwizuje konta, które były nieaktywne przez ponad 18 miesięcy.

„Dla celów bezpieczeństwa, podczas procesu archiwizacji, usuwamy wszystkie informacje związane z kontem inne niż nazwa użytkownika i hasło”, powiedziała firma. „Proszę zauważyć, że jeśli konto pozostaje nieaktywne przez okres 7 lat, Ganz usunie to konto.”

W chwili pisania tego tekstu nie jest jasne, czy hakerzy wykradli te „zarchiwizowane” konta, czy też wyciekłe dane należą do obecnie aktywnych użytkowników.

ZDNet skontaktował się z Ganz w celu uzyskania komentarza i powiadomienia firmy o wycieku danych. Rzecznik prasowy Webkinz powiedział ZDNet, że rzeczywiście byli świadomi ataku na swoją stronę, ale nie wiedzieli, że się powiódł.

Przedsiębiorstwo powiedziało, że od momentu wykrycia ataku „dodali więcej zabezpieczeń do Strefy Rodziców.”

„Webkinz nigdy nie prosił o nazwiska, numery telefonów czy adresy, a wszystkie transakcje odbywają się poprzez nasz eStore, który ma swoje własne serwery i konta, które nie są w żaden sposób dostępne przez Webkinz.” rzecznik powiedział ZDNet. „Więc nawet jeśli ktoś miałby odszyfrować hasło, na kontach nie ma żadnych wartościowych informacji poza samymi danymi z gry.”

„Kilka lat temu podjęliśmy dodatkowe wysiłki w celu poprawy naszych technik szyfrowania, tak, że jeśli nadszedłby dzień, w którym jakiekolwiek dane wydostałyby się na zewnątrz, byłyby one chronione. Obecnie sprawdzamy wszystkie punkty wejścia do naszych danych, aby upewnić się, że podobny atak nie uda się gdzie indziej. Próbujemy również ustalić, czy dane, które wyciekły, są aktualne i mają jakąkolwiek wartość. Jeśli uznamy, że jakiekolwiek konta graczy są rzeczywiście zagrożone, podejmiemy dalsze kroki w celu wymuszenia zmiany haseł”, powiedziała firma.

.