Webkinz儿童游戏泄露2300万用户名和密码

2024-10-31

黑客近日泄露了Webkinz World（由加拿大玩具公司Ganz管理的在线儿童游戏）近2300万玩家的用户名和密码。

Webkinz游戏于2005年作为Ganz毛绒玩具系列的在线对应产品推出。用户可以在Webkinz网站上从毛绒玩具中输入代码，可以和虚拟宠物在线互动游戏。

该游戏是过去十年中最成功的在线儿童游戏之一，仅次于迪士尼的企鹅俱乐部。

但是，今天，一个匿名黑客已经在一个著名的黑客论坛上发布了游戏数据库的一部分。通过借助数据泄露监视服务Under Breach获得泄露文件的副本。

在线上传的1 GB文件包含22,982,319对用户名和密码，其中密码使用MD5-Crypt算法加密。

熟悉黑客的消息人士表示，该安全漏洞已于本月初发生。

据称，黑客使用网站的一种网络形式中存在的SQL注入漏洞来访问游戏数据库。

据报道，有关该漏洞的详细信息已在黑客泄漏论坛和在线IM聊天组上在线传播，直到今天的泄漏已经持续了几个月。

有人告诉我们，除了用户名和密码对之外，黑客还成功地获得了父母电子邮件地址的散列版本。但是，此数据尚未泄漏。

消息人士告诉我们，Webkinz员工已检测到入侵，并修补了黑客进入其系统的入口点。

Webkinz在其网站的支持页面上表示，已存档了超过18个月不活动的帐户。

“为了安全起见，在归档过程中，我们会删除相关的比，然后用户名和密码等账户的所有信息，” 该公司表示。“请注意，如果某个帐户在7年内一直处于非活动状态，那么Ganz会删除该帐户。”

截止发稿时，尚不清楚黑客是否窃取了这些“存档”帐户，或者泄露的数据是否属于当前活动的用户。

一位Webkinz发言人表示，他们确实知道对其网站的攻击，但不知道该网站已经被彻底攻破。该公司还表示，由于发现了攻击，因此“为父母区域增加了安全性”。

“ Webkinz从未要求提供姓氏，电话号码或地址，所有交易都通过我们的eStore进行，该商店拥有自己的服务器和帐户，而Webkinz绝对无法访问这些服务器和帐户。” 一位发言人表示。“因此，即使有人要解密密码，除了游戏数据本身之外，账户上也没有有价值的信息。”

“几年前，我们付出了额外的努力来改进我们的加密技术，因此，如果有一天确实泄漏了任何数据，它将受到保护。我们目前正在审查所有进入数据的要点，以确保类似的攻击将不会在其他地方起作用。我们还试图识别泄漏的数据是最新的还是有任何价值。如果我们认为任何玩家帐户确实有风险，我们将采取进一步措施来强制更改密码，”该公司发言人表示。