Un hacker scapă 23 de milioane de nume de utilizator și parole din jocul pentru copii Webkinz

admin
Webkinz
Imagine: Webkinz, ZDNet

Un hacker a dezvăluit astăzi numele de utilizator și parolele a aproape 23 de milioane de jucători ai Webkinz World, un joc online pentru copii gestionat de compania canadiană de jucării Ganz.

Jocul Webkinz a fost lansat în 2005 ca omologul online al unei linii de jucării de pluș Ganz. Utilizatorii puteau introduce un cod de la jucăria lor de pluș pe site-ul Webkinz, unde puteau să se joace și să administreze o versiune a jucăriei lor sub forma unui animal de companie virtual.

Jocul a fost unul dintre cele mai de succes jocuri online pentru copii din ultimul deceniu, alături de Club Penguin de la Disney.

Astăzi, însă, un hacker anonim a postat o parte din baza de date a jocului pe un cunoscut forum de hacking. ZDNet a obținut o copie a fișierului divulgat cu ajutorul serviciului de monitorizare a încălcărilor de date Under the Breach.

Fila de 1 GB încărcată online conținea 22.982.319 perechi de nume de utilizator și parole, parolele fiind criptate cu algoritmul MD5-Crypt.

webkinz-data.png
Imagine: ZDNet

Surse familiare cu hackerul au declarat pentru ZDNet că breșa de securitate a avut loc la începutul acestei luni.

Hackerul ar fi obținut acces la baza de date a jocului folosind o vulnerabilitate de injecție SQL prezentă într-unul dintre formularele web ale site-ului.

ZDNet a aflat că detalii despre această vulnerabilitate au circulat online înainte de scurgerea de informații de astăzi, timp de luni de zile, atât pe forumurile de hacking, cât și pe grupurile de chat IM online.

webkinz-sql.png
Imagine: ZDNet

Am fost informați că, pe lângă perechile de nume de utilizator și parole, hackerii au reușit să obțină și versiuni hașurate ale adreselor de e-mail ale părinților; cu toate acestea, aceste date nu au fost divulgate.

Sursele ne-au spus că personalul Webkinz a detectat intruziunea și a corectat punctul de intrare al hackerilor în sistemele lor.

Într-o pagină de asistență de pe site-ul său, Webkinz spune că arhivează conturile care au fost inactive mai mult de 18 luni.

„Din motive de securitate, în timpul procesului de arhivare, eliminăm toate informațiile asociate contului, altele decât numele de utilizator și parola”, a declarat compania. „Vă rugăm să rețineți că, dacă un cont rămâne inactiv pentru o perioadă de 7 ani, Ganz va șterge apoi acel cont.”

În momentul redactării acestui articol, nu este clar dacă hackerii au furat aceste conturi „arhivate” sau dacă datele scurse aparțin unor utilizatori activi în prezent.

ZDNet a contactat Ganz pentru comentarii și pentru a notifica compania cu privire la datele scurse. Un purtător de cuvânt al Webkinz a declarat pentru ZDNet că au fost, într-adevăr, conștienți de un atac împotriva site-ului său, dar nu au fost conștienți că acesta a reușit. compania a declarat că, de când au detectat atacul, au „adăugat mai multă securitate la Zona Părinților.”

„Webkinz nu a cerut niciodată nume de familie, numere de telefon sau adrese și toate tranzacțiile au loc prin intermediul eStore-ului nostru, care are propriile servere și conturi, care nu sunt în nici un fel accesibile prin Webkinz.”, a declarat un purtător de cuvânt pentru ZDNet. „Așadar, chiar dacă cineva ar decripta o parolă, nu există nicio informație de valoare în conturi, în afară de datele de joc în sine.”

„În urmă cu câțiva ani, am depus eforturi suplimentare pentru a ne îmbunătăți tehnicile de criptare, astfel încât, dacă ar veni o zi în care orice date ar ieși la iveală, acestea să fie protejate. În prezent, revizuim toate punctele de intrare în datele noastre pentru a ne asigura că un atac similar nu va funcționa în altă parte. De asemenea, încercăm să aflăm dacă datele care au fost scurse sunt recente sau dacă au vreo valoare. Dacă vom considera că vreun cont de jucător este într-adevăr în pericol, vom lua măsuri suplimentare pentru a forța schimbarea parolelor”, a declarat compania.

.