Hacker filtra 23 millones de credenciales del juego infantil Webkinz
Un hacker ha filtrado los nombres de usuario y las contraseñas de casi 23 millones de jugadores de Webkinz World. Este es un juego para niños en línea administrado por la compañía canadiense de juguetes Ganz.
El juego Webkinz se lanzó en 2005 como el equivalente en línea de una línea de peluches Ganz. Los usuarios pueden ingresar un código de su juguete de felpa en el sitio web de Webkinz. En el sitio pueden jugar y administrar una versión de su juguete en forma de mascota virtual.
El juego ha sido uno de los juegos para niños en línea más exitosos de la última década junto a Disney Club Penguin.
Sin embargo, un hacker anónimo ha publicado una parte de la base de datos del juego en un conocido foro de hacking. ZDNet ha obtenido una copia del archivo filtrado con la ayuda del servicio de monitoreo de violación de datos Under the Breach.
El archivo de 1 GB cargado en línea contenía 22,982,319 pares de nombres de usuario y contraseñas. Las contraseñas han sido cifradas con el algoritmo MD5-Crypt.
Fuentes familiarizadas con el incidente han afirmado que la violación de seguridad tuvo lugar a principios de este mes.
El hacker supuestamente obtuvo acceso a la base de datos del juego utilizando una vulnerabilidad de inyección SQL presente en uno de los formularios web del sitio web.
Detalles de la vulnerabilidad
Los detalles sobre la vulnerabilidad han estado circulando en línea antes de la filtración de hoy durante meses. Estos detalles han estado tanto en foros de hacking como en grupos de chat de mensajería instantánea en línea.
Nos hemos enterado que, además de los pares de nombre de usuario y contraseña, los hackers también lograron obtener versiones hash de las direcciones de correo electrónico de los padres. Sin embargo, estos datos no se han filtrado.
Las fuentes nos dijeron que el personal de Webkinz había detectado la intrusión y parcheó el punto de entrada del hacker en sus sistemas.
En una página de soporte en su sitio web, Webkinz dice que archiva cuentas que han estado inactivas por más de 18 meses.
“Por razones de seguridad, durante el proceso de archivo, eliminamos la información asociada a la cuenta que no sea el Nombre de usuario y Contraseña”. Esto según afirmaciones de la compañía. “Ten en cuenta que si una cuenta permanece inactiva durante un período de 7 años, Ganz la eliminará”.
Al momento de escribir, no está claro si los hackers han robado estas cuentas “archivadas”, o si los datos filtrados pertenecen a usuarios actualmente activos.
ZDNet se ha contactado con Ganz para hacer comentarios y notificar a la compañía sobre los datos filtrados. Un portavoz de Webkinz afirmó que, de hecho, estaban al tanto de un ataque contra su sitio web, pero no sabían que había tenido éxito. La compañía dijo que desde que detectaron el ataque “agregaron más seguridad al Área de los Padres”.
Respuesta de la compañía
“Webkinz nunca ha pedido apellidos, números de teléfono o direcciones y todas las transacciones se realizan a través de nuestra tienda electrónica. Esa tienda tiene sus propios servidores y cuentas, a los que no se puede acceder de ninguna manera a través de Webkinz”. Esto según las afirmaciones de un portavoz de la compañía.
“Por lo tanto, incluso si alguien descifra una contraseña, no hay información de valor en las cuentas más allá de los datos del juego”.
“Hace algunos años, hicimos esfuerzos adicionales para mejorar nuestras técnicas de encriptación. De modo que, si llegara un día en el que saliera algún dato, estaría protegido.
Actualmente estamos revisando todos los puntos de entrada en nuestros datos para asegurar que un ataque similar no funcionará en otra parte. También estamos tratando de discernir si los datos filtrados son recientes o de algún valor.
Si creemos que las cuentas de los jugadores están realmente en riesgo, tomaremos medidas adicionales para forzar los cambios de contraseña “. Afirmó la empresa