黑客从Webkinz儿童游戏中泄露了2300万个用户名和密码

今天，一名黑客泄露了加拿大玩具公司Ganz管理的网络儿童游戏Webkinz World近2300万玩家的用户名和密码。

这款Webkinz游戏于2005年推出，是Ganz系列毛绒玩具的在线版本。用户可以在Webkinz网站上输入他们的毛绒玩具的代码，在那里他们可以玩和管理一个虚拟宠物形式的玩具版本。

这款游戏是过去10年里最成功的在线儿童游戏之一，仅次于迪士尼的企鹅俱乐部(Club Penguin)。

然而，今天，一名匿名黑客在一个著名的黑客论坛上发布了游戏数据库的一部分。ZDNet在数据泄露监控服务的帮助下，获得了泄露文件的副本。

在线上传的1gb文件包含22,982,319对用户名和密码，密码使用MD5-Crypt算法加密。

熟悉此次黑客攻击的消息人士透露安全漏洞发生在本月早些时候。

据称，这名黑客利用该网站一个网页表单中存在的SQL注入漏洞进入了游戏的数据库。

ZDNet了解到，关于漏洞的细节在今天的泄露之前已经在网上流传了几个月，包括黑客论坛和在线即时聊天组。

我们被告知，除了用户名和密码对，黑客还成功地获取了父母的哈希版本的电子邮件地址，然而，这些数据并没有被泄露。

消息人士告诉我们，Webkinz的工作人员已经发现了入侵，并修补了黑客进入他们系统的入口。

在其网站的一个支持页面上，Webkinz表示，它会存档已经停用超过18个月的账户。

该公司表示:“出于安全考虑，在存档过程中，除了用户名和密码外，我们删除了与该账户相关的所有信息。”“请注意，如果一个账户在7年内不活跃，Ganz将删除该账户。”

在撰写本文时，尚不清楚黑客是否窃取了这些“存档”账户，或者泄露的数据是否属于当前活跃用户。