Be galo populiari internetinė žaidimų aikštelė „Animal Jam“ patyrė duomenų pažeidimą, kuris paveikė 46 mln.
„Animal Jam“ yra „WildWorks“ sukurtas virtualus pasaulis, kuriame vaikai gali žaisti internete su kitais nariais. „Animal Jam“, skirta 7–11 metų vaikams, turi daugiau nei 300 milijonų vaikų sukurtų gyvūnų avatarų, o naujas žaidėjas prisiregistruoja kas 1,4 sekundės.
Vakar vienas grėsmių veikėjas įsilaužėlių forume nemokamai pasidalijo dviem duomenų bazėmis, priklausančiomis „Animal Jam“, kurios, jo teigimu, buvo gautos iš žinomo tinklalapio įsilaužėlio ShinyHunters.
Dalinė duomenų bazė nemokamai
Dvi pavogtos duomenų bazės pavadintos „game_accounts“ ir „users“ ir jose yra maždaug 46 milijonai pavogtų naudotojų įrašų.
Nemokamo paleidimo metu grėsmių veikėjas pasidalijo tik daline duomenų baze, kurioje yra apie 7 milijonai vaikų / tėvų įrašų, kurie užsiregistravo žaidime.
Animal Jam duomenų bazės pavyzdys
Remiantis „BleepingComputer“ peržiūrėtais žurnalo laiko žymų pavyzdžiais, duomenų bazė greičiausiai buvo pavogta 2020 m. spalio 12 d.
Visiškas „WildWorks“ skaidrumas
Tai, kas turėtų būti laikoma skaidraus pranešimo apie duomenų pažeidimą pavyzdžiu, „WildWorks“ pasidalijo su „BleepingComputer“, kad šį rytą sužinojo apie pažeidimą ir aktyviai jį tyrė.
„WildWorks“ generalinė direktorė Clary Stacey „BleepingComputer“ sakė mananti, kad grėsmės veikėjai gavo „WildWork“ AWS raktą po to, kai sukompromitavo bendrovės „Slack“ serverį. Kai įvyko pažeidimas, jis buvo greitai išspręstas, tačiau tuo metu jie nežinojo apie duomenų vagystę.
Šiandien sužinoję apie pavogtą duomenų bazę, jų tyrimas atskleidė, kad grėsmės subjektai turėjo prieigą prie duomenų bazių, kuriose yra:
- 46 milijonai žaidėjų naudotojų vardų, kuriuos prižiūri žmonės, kad įsitikintų, jog juose nėra paties vaiko vardo.
- 46 milijonai SHA1 maišos slaptažodžių. Nors yra teiginių, kad buvo įsilaužta į 13 milijonų slaptažodžių, WildWorks negalėjo patvirtinti, ar tai tiesa ir ar slaptažodžiai yra sūdyti ir apdoroti.
- Tai apima maždaug 7 milijonus el. pašto adresų tėvų, kurių vaikai prisiregistravo gauti Animal Jam paskyras.
- IP adresai, kuriuos naudojo vienas iš tėvų arba žaidėjų, kai jie prisiregistravo gauti paskyrą. „BleepingComputer“ pateiktuose pavyzdžiuose visuose įrašuose buvo IP adresas.
- 7 milijonai el. pašto adresų, susietų su paskyromis.
- 116 iš šių įrašų (visi 2010 m.) taip pat apima tėvų vardą ir pavardę bei atsiskaitymo adresą, bet jokios kitos kredito kortelės informacijos.
- Nedidelis įrašų pogrupis gali apimti lytį ir gimimo datą, kurią žaidėjas įvedė kurdamas paskyrą. Dauguma jų turės tik gimimo metus.
Nors pavogtų registracijų skaičius yra gana didelis, Stacey teigia, kad tai yra nedidelis visų nuo 2010 m. užregistruotų „Animal Jam“ vartotojų paskyrų pogrupis. Dabar „Animal Jam“ turi daugiau nei 130 mln. registruotų žaidėjų ir 3,3 mln. vartotojų. aktyvus kas mėnesį.
Stacey sakė, kad ruošia ataskaitą FTB kibernetinės veiklos grupei ir praneša apie visus susijusius el. Jie taip pat paskelbs viešą pranešimą, kuriame bus nuoroda į DUK jos svetainėje.
„WildWorks yra maža įmonė, tačiau į žaidėjų saugumą žiūrime labai rimtai. Esame labai susirūpinę sužinoję apie šį pažeidimą, tačiau jaučiame palengvėjimą, kad šios vagystės metu nebuvo atskleista slapta informacija, pvz., slaptažodžiai ar tikri vaikų vardai. . Stacey pasidalino su „BleepingComputer“.
„WildWorks“ sakė „BleepingComputer“, kad jie ir toliau bus skaidrūs apie atskleidžiamus duomenis ir kad jei atlikus tyrimą bus aptikta naujos informacijos, ji bus paskelbta.
Ką turėtų daryti „Animal Jam“ vartotojai?
Jei jūs arba jūsų vaikas naudojate „Animal Jam“, nedelsdami pakeiskite paskyros slaptažodį.
Jei slaptažodis naudojamas bet kurioje kitoje svetainėje, jis taip pat turi būti pakeistas į unikalų slaptažodį.
Naudodami unikalius slaptažodžius kiekvienoje svetainėje, kuriai turite paskyrą, neleidžiate, kad duomenų pažeidimas vienoje svetainėje paveiktų kitas jūsų naudojamas svetaines.
Taip pat tinkamas laikas supažindinti vaiką su slaptažodžių tvarkykle, kad jis priprastų prie stiprių, unikalių slaptažodžių kiekvienoje naudojamoje svetainėje. Ši praktika padės išvengti galvos skausmo ateityje.
Kadangi šie duomenys gali būti naudojami sukčiavimo atakoms, nukreiptoms prieš vaikus, taip pat labai svarbu stebėti, ar vaiko paskyrose nėra įtartinų el. laiškų.
Ką tu manai?
