Hacker vaza 23 milhões de nomes de usuários e senhas do jogo infantil Webkinz

admin
Webkinz
Image: Webkinz, ZDNet

Um hacker divulgou hoje os nomes de usuário e senhas de quase 23 milhões de jogadores do Webkinz World, um jogo infantil online gerenciado pela empresa canadense de brinquedos Ganz.

O jogo Webkinz lançado em 2005 como a contrapartida online de uma linha de brinquedos de pelúcia Ganz. Os usuários poderiam inserir um código de seu brinquedo de pelúcia no site Webkinz, onde poderiam jogar e gerenciar uma versão de seu brinquedo na forma de um animal de estimação virtual.

O jogo tem sido um dos jogos infantis online de maior sucesso da última década ao lado do Disney’s Club Penguin.

No entanto, hoje, um hacker anônimo postou uma parte do banco de dados do jogo em um conhecido fórum de hackers. A ZDNet obteve uma cópia do arquivo vazado com a ajuda do serviço de monitoramento de violação de dados Sob o Breach.

O arquivo de 1 GB enviado online continha 22.982.319 pares de nomes de usuários e senhas, com as senhas criptografadas com o algoritmo MD5-Crypt.

webkinz-data.png
Image: ZDNet

Fontes familiarizadas com o hack disseram à ZDNet que a quebra de segurança ocorreu no início deste mês.

O hacker supostamente obteve acesso ao banco de dados do jogo usando uma vulnerabilidade de injeção SQL presente em um dos formulários web do site.

ZDNet aprendeu que detalhes sobre a vulnerabilidade têm circulado online antes do vazamento de hoje por meses, tanto em fóruns de hacking como em grupos de bate-papo de mensagens instantâneas online.

webkinz-sql.png
Image: ZDNet

Foi-nos dito que além dos pares de nome de usuário e senha, os hackers também foram bem sucedidos na obtenção de versões hashed dos endereços de e-mail dos pais; no entanto, esses dados não foram vazados.

Fontes nos disseram que a equipe da Webkinz detectou a intrusão e corrigiu o ponto de entrada do hacker em seus sistemas.

Em uma página de suporte em seu site, Webkinz diz que arquiva contas inativas há mais de 18 meses.

“Para fins de segurança, durante o processo de arquivamento, removemos todas as informações associadas à conta, além do nome de usuário e senha”, disse a empresa. “Por favor note que se uma conta permanecer inativa por um período de 7 anos, Ganz irá então excluir essa conta”

Na hora de escrever, não está claro se hackers roubaram essas contas “arquivadas”, ou se os dados vazados pertencem a usuários atualmente ativos.

ZDNet entrou em contato com Ganz para comentar e notificar a empresa sobre os dados vazados. Um porta-voz da Webkinz disse à ZDNet que eles estavam, de fato, cientes de um ataque contra seu site, mas não sabiam que ele tinha sido bem sucedido. A empresa disse que desde que detectaram o ataque eles “adicionaram mais segurança à Área dos Pais”

“Webkinz nunca pediu sobrenomes, números de telefone ou endereços e todas as transações acontecem através de nossa eStore, que tem seus próprios servidores e contas, que não são de forma alguma acessíveis através da Webkinz”, disse um porta-voz à ZDNet. “Então, mesmo que alguém descriptografasse uma senha, não há informação de valor nas contas além dos dados do jogo em si”

“Há alguns anos atrás, fizemos esforços extras para melhorar nossas técnicas de criptografia, para que se um dia chegasse onde qualquer dado saísse, ele estivesse protegido. Atualmente estamos revisando todos os pontos de entrada em nossos dados para garantir que um ataque similar não funcione em outro lugar. Também estamos tentando discernir se os dados vazados são recentes ou de algum valor. Se sentirmos que qualquer conta de jogador está realmente em risco, tomaremos outras medidas para forçar mudanças de senha”, disse a empresa.