儿童线上游戏Animal Jam惊传资料外泄,4,600万玩家遭波及

最近1到2年,黑客针对游戏产业发动攻击的情况,可说是时有耳闻,而游戏公司可能直到安全专家发现通报,才惊觉资料被偷走。根据安全新闻网站Bleeping Computer的报道,他们在11月10日在黑客论坛里发现,有人公开分享2个隶属于儿童线上游戏Animal Jam的数据库,Bleeping Computer向该游戏的开发商WildWorks通报,并得到证实,WildWorks也在游戏网站上公告此事。

Animal Jam是什么样的游戏?它是由位于美国犹他州WildWorks工作室开发的角色扮演游戏,目标群体是7至11岁的孩童。玩家可在游戏的虚拟森林世界里,扮演不同的动物,来和其他玩家交互,形态有点类似任天堂开发的“动物森友会”。这款游戏自2010年推出以来,目前有超过1.3亿人游玩,而且平均1.4秒就会出现新的玩家。此外,WildWorks提供了家长专用的管控工具,算是同类型游戏里相当特别的功能。

在这起资料外泄事件中,Bleeping Computer看到这2个遭窃的数据库,分别以“游戏账号”和“用户名”命名,其中包含了4,600万笔用户记录,这些资料很可能在今年的10月12日遭窃。至于取得这些资料的攻击者身份为何?在论坛上分享数据库的人特别标记了ShinyHunters,而这是专门锁定网站下手的黑客组织。

而WildWorks在11日早上得知资料外泄的情事后,已经积极展开调查,该公司首席执行官Clary Stacey告诉Bleeping Computer,他们认为黑客借着公司的Slack服务器,窃得AWS密钥,但他们发现相关攻击情事的当下,并未意识到资料已经遭窃。

根据Bleeping Computer取得的数据库,WildWorks证实遭到外泄的用户资料内容,其中包含4,600万个用户名与SHA1密码散列值、7百万个家长的电子邮件信箱,其中有116笔记录包含了家长姓名和账单地址,但其中没有信用卡的资料。

值得留意的是,上述的密码散列值,黑客宣称已经破解其中的1,300个,但WildWorks无法确认已被解密的密码数量。为了防堵黑客滥用Animal Jam玩家的账号,该公司要求所有的玩家重设密码。除此之外,Clary Stacey表示他们已经准备提交报告给FBI,还有通知电子邮件受影响的家长,同时也在网站上公告此事。

对于Animal Jam的玩家而言,究竟应该如何自保?WildWorks指出,玩家与家长最好马上更换游戏账号的密码,假如他们也在其他网站上使用了相同密码,也应该一并更换,再者,用户最好在各式网站服务采用不同的密码,以防范自己成为密码填充攻击(Credential Stuffing)的受害者。

有别于多数游戏产业遭到攻击的事件,这次黑客的目标是年龄层较低的孩童会使用的网络服务,这些儿童往往缺乏相关的安全意识,而可能在相关事件发生的时候,仍然不会变更密码来保护自己,进一步成为家用网络的安全破口,未来这种针对儿童群体网络服务的攻击事件,可能会更加频繁。此起事件突显出,家长不只要有自我保护措施,同时也应该让孩子从小就开始培养安全意识,避免刚学会使用网络就成为黑客下手的目标。

发表评论