近日,一名黑客泄露了加拿大玩具公司Ganz管理的在线儿童游戏Webkinz World近2300万玩家的用户名和密码。
Webkinz游戏于2005年推出,作为Ganz毛绒玩具系列的在线对应产品。用户可以在Webkinz网站上输入他们毛绒玩具的代码,在那里他们可以以虚拟宠物的形式玩和管理他们玩具的一个版本。
在过去的十年里,这款游戏是仅次于迪斯尼企鹅俱乐部(Club Penguin)的最成功的在线儿童游戏之一。
然而,近日,一个匿名黑客在一个著名的黑客论坛上发布了游戏数据库的一部分。ZDNet在数据泄露监控服务的帮助下获得了泄露文件的副本。
在线上传的1GB文件包含22982319对用户名和密码,密码采用MD5加密算法加密。
熟悉黑客攻击的消息人士称,安全漏洞发生在本月早些时候。
据称,这名黑客利用该网站的一个web表单中存在的SQL注入漏洞访问了该游戏的数据库。
在今天的漏洞泄露之前,有关该漏洞的详细信息已经在网上流传了几个月,无论是在黑客论坛还是在线IM聊天组上。
我们被告知,除了用户名和密码对,黑客还成功地获得了父母电子邮件地址的哈希版本;然而,这些数据并未泄露。
消息人士告诉我们,Webkinz的工作人员已经发现了入侵,并修补了黑客进入他们系统的入口。
ZDNet已经联系了Ganz征求意见,并将泄露的数据通知了该公司,但在本文发表之前,我们还没有得到回复。
Webkinz在其网站的一个支持页面上说,它将停用超过18个月的账户归档。
“出于安全考虑,在存档过程中,我们会删除与帐户相关的所有信息,而不是用户名和密码,”该公司说请注意,如果一个帐户在7年内保持不活动状态,Ganz将删除该帐户。”
截至发稿时,尚不清楚黑客是否盗取了这些“存档”账户,或者泄露的数据是否属于当前活跃用户。
