یک هکر در هفته آخر 1 گیگابایت داده را منتشر کرد که حاوی نام های کاربری و رمزهای عبور کودکان در بازی Webkinz World است.
چگونه Webkinz هک شد؟ بازی آنلاین ، یک سری از اسباب بازی های مخمل خواب دار Ganz را که توسط این شرکت تولید شده است ، تکمیل می کند. اسباب بازی های مخمل خواب دار با کدی همراه است که می تواند وارد وب سایت وبکینز شود و نوعی حیوان خانگی مجازی ایجاد کند. سپس کودکان می توانند با حیوان خانگی مجازی خود بازی و مراقبت کنند. این بازی در بین کودکان بسیار محبوب است و طبق گزارش ها یکی از موفق ترین بازی های آنلاین کودکان در دهه گذشته است.
ZDNet گزارش می دهد که آسیب پذیری این بازی ماه ها قبل کشف شده است. ماه ها اطلاعات مربوط به این آسیب پذیری در انجمن های هکری و گروه های گفتگوی آنلاین IM منتشر شده بود.
آسیب پذیری شناخته شده در یکی از فرم های وب سایت وبکینز بود. ZDNet گزارش می دهد که هکر "گفته می شود هکر" با استفاده از آسیب پذیری تزریق SQL که در یکی از فرم های وب سایت موجود است ، به پایگاه داده های بازی دسترسی پیدا کرد. " برای بازی Webkinz World. مهاجم بازی را هک کرد و داده های ورود به سیستم را در یک انجمن محبوب هکینگ قرار داد. نسخه های رایانه ای از آدرس های ایمیل والدین نیز به دست آمد ، اما اینها فاش نشده اند.
سخنگوی شرکت گفت: "چند سال پیش ما تلاش های بیشتری را برای بهبود روشهای رمزگذاری خود انجام دادیم ، به گونه ای که اگر روزی فرا برسد اطلاعات وجود دارد. بیرون آمد ، محافظت می شود ما در حال حاضر همه نقاط ورود به داده های خود را بررسی می کنیم تا اطمینان حاصل شود که یک حمله مشابه در جای دیگر کار نخواهد کرد. "
پرونده 1 گیگابایتی حاوی اطلاعات ورود به سیستم از بانک اطلاعاتی بازی ناشی می شود. اگرچه داده ها در آخر هفته فاش شد ، نقض امنیتی واقعی که از آن گفته می شود که در اوایل ماه رخ داده است. وبکینز اظهار داشته است که این نقض را کشف کرده و از آن زمان نقطه ورود استفاده شده توسط هکر را تسخیر کرده است. علاوه بر این ، گذرواژههای حساب کودکان که در پایگاه داده ذخیره شدهاند ، با الگوریتم MD5-Crypt رمزگذاری شده اند. با این حال ، این الگوریتم رمزگذاری می تواند با استفاده از نیروی بی رحمانه یا یک پایگاه داده MD5 ترک شود.
داده های فعلی یا بایگانی شده
طبق گفته های وبکینز ، حساب های کاربری که بیش از 18 ماه غیرفعال مانده اند بایگانی می شوند. به عنوان بخشی از فرآیند بایگانی ، تمام اطلاعات مرتبط با حساب حذف می شوند و فقط نام کاربری و رمزعبور را می گذارند. این کار برای اهداف امنیتی انجام می شود ، به گونه ای که در صورت وقوع نفوذ ، هیچ اطلاعاتی از ارزش دزدیده نشده است.
هنوز مشخص نیست که اطلاعات فاش شده متعلق به این حساب های بایگانی شده است یا به حساب های فعال فعلی.
