圖片來源: 

WildWorks

最近1到2年,駭客針對遊戲產業發動攻擊的情況,可說是時有所聞,而遊戲公司可能直到資安專家發現通報,才驚覺資料被偷走。根據資安新聞網站Bleeping Computer的報導,他們在11月10日在駭客論壇裡發現,有人公開分享2個隸屬於兒童線上遊戲Animal Jam的資料庫,Bleeping Computer向該遊戲的開發商WildWorks通報,並得到證實,WildWorks也在遊戲網站上公告此事。

Animal Jam是什麼樣的遊戲?它是由位於美國猶他州WildWorks工作室開發的角色扮演遊戲,目標族群是7至11歲的孩童。玩家可在遊戲的虛擬森林世界裡,扮演不同的動物,來和其他玩家互動,型態有點類似任天堂開發的「動物森友會」。這款遊戲自2010年推出以來,目前有超過1.3億人遊玩,而且平均1.4秒就會出現新的玩家。此外,WildWorks提供了家長專用的控管工具,算是同類型遊戲裡相當特別的功能。

在這起資料外洩事件中,Bleeping Computer看到這2個遭竊的資料庫,分別以「遊戲帳號」和「使用者名稱」命名,其中包含了4,600萬筆使用者記錄,這些資料很可能在今年的10月12日遭竊。至於取得這些資料的攻擊者身分為何?在論壇上分享資料庫的人特別標記了ShinyHunters,而這是專門鎖定網站下手的駭客組織。

而WildWorks在11日早上得知資料外洩的情事後,已經積極展開調查,該公司執行長Clary Stacey告訴Bleeping Computer,他們認為駭客藉著公司的Slack伺服器,竊得AWS金鑰,但他們察覺相關攻擊情事的當下,並未意識到資料已經遭竊。

根據Bleeping Computer取得的資料庫,WildWorks證實遭到外洩的用戶資料內容,當中包含4,600萬個使用者名稱與SHA1密碼雜湊值、7百萬個家長的電子郵件信箱,其中有116筆記錄包含了家長姓名和帳單地址,但當中沒有信用卡的資料。

值得留意的是,上述的密碼雜湊值,駭客宣稱已經破解其中的1,300萬個,但WildWorks無法確認已被解密的密碼數量。為了防堵駭客濫用Animal Jam玩家的帳號,該公司要求所有的玩家重設密碼。除此之外,Clary Stacey表示他們已經準備提交報告給FBI,還有通知電子郵件受影響的家長,同時也在網站上公告此事。

對於Animal Jam的玩家而言,究竟應該如何自保?WildWorks指出,玩家與家長最好馬上更換遊戲帳號的密碼,假如他們也在其他網站上使用了相同密碼,也應該一併更換,再者,使用者最好在各式網站服務採用不同的密碼,以防範自己成為密碼填充攻擊(Credential Stuffing)的受害者。

有別於多數遊戲產業遭到攻擊的事件,這次駭客的目標是年齡層較低的孩童會使用的網路服務,這些兒童往往缺乏相關的資安意識,而可能在相關事件發生的時候,仍然不會變更密碼來保護自己,進一步成為家用網路的資安破口,未來這種針對兒童族群網路服務的攻擊事件,可能會更加頻繁。此起事件突顯出,家長不只要有自我保護措施,同時也應該讓孩子從小就開始培養資安意識,避免剛學會使用網路就成為駭客下手的目標。


Advertisement

更多 iThome相關內容