极受欢迎的儿童在线游乐场动物游戏(Animal Jam)遭遇数据泄露,影响4600万个账户。
Animal Jam是由WildWorks创建的一个虚拟世界,在那里孩子们可以和其他成员一起玩在线游戏。面向7岁到11岁的儿童,Animal Jam拥有超过3亿个由儿童创作的动物化身,每1.4秒就有一个新玩家注册。
昨天,一名威胁演员在一个黑客论坛上免费分享了两个属于Animal Jam的数据库,他们称这两个数据库是知名网站黑客ShinyHunters获得的。
这两个被盗的数据库名为“游戏账号”和“用户”,包含大约4600万条被盗用户记录。
作为免费版本的一部分,威胁参与者只共享了一个部分数据库,其中包含了注册游戏的儿童/家长的大约700万条用户记录。
根据样本记录上的时间戳,数据库很可能在2020年10月12日被盗。
来自WildWorks的完全透明
WildWorks分享了他们今天早上得知数据泄露的消息,并一直在积极调查,这应该被视为数据泄露的透明报告模式。
WildWorks的首席执行官Clary Stacey认为威胁演员在破坏了WildWork松弛的服务器后获得了WildWork的AWS密钥。当漏洞发生时,很快就得到了解决,但他们当时并不知道有任何数据被盗。
- 在今天得知被盗数据库后,他们的调查显示,威胁行为人获得了包含以下内容的数据库:
- 4600万个玩家用户名,这些用户名都是经过人工调节的,以确保它们不包含孩子的正名。
- 4600万个SHA1哈希密码。尽管有人声称有1300万个密码被破解,但WildWorks还无法证实这一点是否属实,以及密码是否经过加盐和哈希处理。
- 大约有700万个家长的电子邮件地址,他们的孩子注册了Animal Jam账户。
- 家长或玩家注册帐户时使用的IP地址。所有记录都包含一个IP地址。
- 700万个与帐户关联的电子邮件地址。
- 其中116条记录(全部来自2010年)还包括父母的姓名和账单地址,但没有其他信用卡信息。
记录的一小部分可能包括玩家在创建账号时输入的性别和出生日期。其中,大多数只有出生年份。
尽管被盗记录的数量相当大,但Stacey表示,这只是2010年以来注册的Animal Jam用户帐户总数的一小部分。Animal Jam现在拥有超过1.3亿注册玩家和330万每月活跃用户。
作为预防措施,所有Animal Jam用户将被要求在下次登录时重置密码。
斯泰西说,他们正在为联邦调查局网络工作组准备一份报告,并通知所有受影响的电子邮件。他们还在自己的网站上创建了一个“数据泄露警报”,以回答与此相关的问题。
“WildWorks是一家小公司,但我们非常重视玩家安全。得知这一违规行为,我们深感关切,尽管在这起盗窃案中没有暴露出明文密码或儿童真实姓名等敏感信息,但我们感到欣慰。”
WildWorks说他们将继续对暴露的数据保持透明,如果从他们的调查中获得任何新的信息,这些信息将被披露。
Animal Jam使用者应该怎么做?
如果您或您的孩子是Animal Jam用户,您应该立即更改帐户的密码。
如果该密码在任何其他站点使用,也应将其更改为唯一的密码。
在您拥有帐户的每个站点使用唯一的密码可以防止一个站点的数据泄露影响到您使用的其他站点。
由于这些数据可用于针对儿童的有针对性的网络钓鱼攻击,因此监控您孩子的帐户中是否存在可疑电子邮件也是至关重要的。
【参考来源:BleepingComputer】
