Un hacker divulgue 23 millions de noms d’utilisateurs et mots de passe du jeu pour enfants Webkinz

Spread the love
  • Yum

Un hacker divulgue 23 millions de noms d'utilisateurs et mots de passe du jeu pour enfants Webkinz

Un hacker a publié ce week-end les noms d’utilisateur et les mots de passe de près de 23 millions de joueurs de Webkinz World, un jeu en ligne pour enfants géré par la société canadienn de jouets, Ganz.

Le jeu Webkinz, lancé en 2005, est le pendant en ligne d’une gamme de peluches Ganz. Les utilisateurs entrent un code qu’ils trouvent sur leur peluche sur le site web de Webkinz. Ils ont alors accès à un jeu où ils peuvent gérer leur compagnon sous la forme d’un animal de compagnie virtuel. Ce jeu est parmi les plus jeux en ligne pour enfants les plus populaires de la dernière décennie, après Disney’s Club Penguin.

Cependant, un hacker anonyme a posté une partie de la base de données du jeu sur un forum de piratage bien connu. ZDNet a obtenu une copie du fichier divulgué avec l’aide du service de surveillance des violations de données Under the Breach.

publicité

Une vulnérabilité qui circulait depuis quelques mois

Le fichier de 1 Go téléchargé en ligne contenait 22 982 319  noms d’utilisateur et mots de passe, les mots de passe étant cryptés avec l’algorithme MD5-Crypt.

Certaines sources, proches de ce piratage, nous ont expliqué que la brèche de sécurité avait eu lieu au début du mois. Le hacker aurait accédé à la base de données du jeu en utilisant une vulnérabilité d’injection SQL présente dans l’un des formulaires du site web. ZDNet a appris que des détails sur cette vulnérabilité circulaient en ligne depuis des mois avant la fuite, à la fois sur les forums de piratage et sur des groupes de discussion de messagerie instantanée en ligne.

On nous a dit qu’en plus des noms d’utilisateur et mots de passe, les pirates informatiques ont également réussi à obtenir des versions hachées des adresses électroniques des parents ; cependant, ces données n’ont pas fait l’objet de fuites.

Achivage et suppression des comptes inactifs

Des sources nous ont dit que le personnel de Webkinz avait détecté l’intrusion et patché le point d’entrée du hacker dans leurs systèmes. Ganz ne nous a pas encore répondu à ce sujet.

Sur une page d’aide de son site web, Webkinz indique archiver les comptes inactifs depuis plus de 18 mois : « pour des raisons de sécurité, pendant le processus d’archivage, nous supprimons toutes les informations associées au compte autres que le nom d’utilisateur et le mot de passe. Veuillez noter que si un compte reste inactif pendant une période de sept ans, Ganz supprimera alors ce compte ».

Au moment de la rédaction du présent article, on ne sait pas si des pirates ont volé ces comptes “archivés” ou si les données divulguées appartiennent à des utilisateurs actuellement actifs.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *