NEWS

Hacker rubano credenziali di 23 milioni di utenti di un popolare gioco online per bambini

Gli hacker hanno violato nomi utente e password di quasi 23 milioni di utenti di Webkinz World, uno dei giochi online per bambini di maggior successo degli ultimi anni che è gestito dalla società canadese di giocattoli Ganz. A darne notizia sono gli esperti del sito di tecnologie informatiche ZDNet. Nel sito web del gioco, che è associato ad una linea di peluche Ganz fin dal 2005, gli utenti possono iscriversi inserendo un codice riportato nel peluche da loro acquistato e giocare gestendo una versione virtuale del loro giocattolo sotto forma di un animale domestico.


Tuttavia, un pirata informatico ha pubblicato una parte del database del gioco violato su un noto forum di hacking, e ZDNet ne ha ottenuta una copia con l'aiuto del servizio di monitoraggio della violazione dei dati “Under the Breach”.

Il file da 1 GB caricato online conteneva 22.982.319 coppie di nomi utente e password, con le password che venivano crittografate con l'algoritmo MD5-Crypt, e sarebbe stato trafugato ad inizio del mese di aprile.

L'hacker avrebbe ottenuto l'accesso al database del gioco usando una vulnerabilità di iniezione SQL presente in uno dei moduli web del sito web. Secondo gli esperti di ZDNet, i dettagli sulla vulnerabilità sfruttata dall’hacker erano circolati online già mesi prima della violazione sia sui forum di hacking che sui gruppi di chat di messaggistica istantanea online.

Oltre a nome utente e password, gli hacker sono riusciti ad ottenere anche versioni hash degli indirizzi e-mail dei genitori, tuttavia questi dati non risultano essere stati divulgati. Al momento la Ganz, titolare del gioco online, non ha rilasciato dichiarazioni, ma sta di fatto che milioni di informazioni personali relative a minori e a i loro genitori rischiano adesso di essere utilizzate illecitamente.

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Contact tracing, lettera dell'European Data Protection Board alla Commissione europea
Next Il reato di appropriazione indebita si configura anche per la sottrazione di file di dati

Privacy Day Forum 2024: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy