兒童線上遊戲Animal Jam驚傳資料外洩，4,600萬筆記錄被公開在駭客論壇

最近1到2年，駭客針對遊戲產業發動攻擊的情況，可說是時有所聞，而遊戲公司可能直到資安專家發現通報，才驚覺資料被偷走。根據資安新聞網站Bleeping Computer的報導，他們在11月10日在駭客論壇裡發現，有人公開分享2個隸屬於兒童線上遊戲Animal Jam的資料庫，Bleeping Computer向該遊戲的開發商WildWorks通報，並得到證實，WildWorks也在遊戲網站上公告此事。

Animal Jam是什麼樣的遊戲？它是由位於美國猶他州WildWorks工作室開發的角色扮演遊戲，目標族群是7至11歲的孩童。玩家可在遊戲的虛擬森林世界裡，扮演不同的動物，來和其他玩家互動，型態有點類似任天堂開發的「動物森友會」。這款遊戲自2010年推出以來，目前有超過1.3億人遊玩，而且平均1.4秒就會出現新的玩家。此外，WildWorks提供了家長專用的控管工具，算是同類型遊戲裡相當特別的功能。

在這起資料外洩事件中，Bleeping Computer看到這2個遭竊的資料庫，分別以「遊戲帳號」和「使用者名稱」命名，其中包含了4,600萬筆使用者記錄，這些資料很可能在今年的10月12日遭竊。至於取得這些資料的攻擊者身分為何？在論壇上分享資料庫的人特別標記了ShinyHunters，而這是專門鎖定網站下手的駭客組織。

而WildWorks在11日早上得知資料外洩的情事後，已經積極展開調查，該公司執行長Clary Stacey告訴Bleeping Computer，他們認為駭客藉著公司的Slack伺服器，竊得AWS金鑰，但他們察覺相關攻擊情事的當下，並未意識到資料已經遭竊。

根據Bleeping Computer取得的資料庫，WildWorks證實遭到外洩的用戶資料內容，當中包含4,600萬個使用者名稱與SHA1密碼雜湊值、7百萬個家長的電子郵件信箱，其中有116筆記錄包含了家長姓名和帳單地址，但當中沒有信用卡的資料。

值得留意的是，上述的密碼雜湊值，駭客宣稱已經破解其中的1,300萬個，但WildWorks無法確認已被解密的密碼數量。為了防堵駭客濫用Animal Jam玩家的帳號，該公司要求所有的玩家重設密碼。除此之外，Clary Stacey表示他們已經準備提交報告給FBI，還有通知電子郵件受影響的家長，同時也在網站上公告此事。

對於Animal Jam的玩家而言，究竟應該如何自保？WildWorks指出，玩家與家長最好馬上更換遊戲帳號的密碼，假如他們也在其他網站上使用了相同密碼，也應該一併更換，再者，使用者最好在各式網站服務採用不同的密碼，以防範自己成為密碼填充攻擊（Credential Stuffing）的受害者。

有別於多數遊戲產業遭到攻擊的事件，這次駭客的目標是年齡層較低的孩童會使用的網路服務，這些兒童往往缺乏相關的資安意識，而可能在相關事件發生的時候，仍然不會變更密碼來保護自己，進一步成為家用網路的資安破口，未來這種針對兒童族群網路服務的攻擊事件，可能會更加頻繁。此起事件突顯出，家長不只要有自我保護措施，同時也應該讓孩子從小就開始培養資安意識，避免剛學會使用網路就成為駭客下手的目標。