La información de identificación personal (PII) de hasta 46 millones de jugadores del juego infantil en línea Animal Jam, incluidas las fechas de nacimiento, el sexo y los nombres completos de los padres y las direcciones de facturación, ha sido robada en un ciberataque a un servidor en un tercero. proveedor de fiestas utilizado por los desarrolladores del juego WildWorks
Lanzado en 2010 como un «área de juegos en línea emocionante y segura para los niños que aman los animales y el aire libre», Animal Jam tiene aproximadamente 130 millones de usuarios y más de 300 millones de avatares individuales.
Se cree que la base de datos, que se ve circulando en línea en foros clandestinos, fue robada por un actor malicioso usando el alias ShinyHunters y, según Bleeping Computer, que informó por primera vez la historia, probablemente fue tomada a mediados de octubre de 2020.
Wildworks dijo que la base de datos contenía direcciones de correo electrónico conectadas a siete millones de cuentas de padres de Animal Jam y Animal Jam Classic, 32 millones de nombres de usuario de jugadores asociados con estas cuentas, contraseñas cifradas, 14,8 millones de años de nacimiento de jugadores, 23,9 millones de registros de género de jugadores, 5,7 millones de fechas de nacimiento precisas de jugadores. 12,653 nombres completos y direcciones de facturación de los padres, y 16,131 nombres completos de los padres sin una dirección asociada.
En un comunicado, WildWorks dijo: “Creemos que la información robada se limitó a los elementos enumerados anteriormente. Ningún nombre real de los niños fue parte de esta violación. El nombre y la dirección de facturación se incluyeron en el 0.02% de los registros robados; de lo contrario, no se robó información de facturación ni información que pudiera identificar a los padres de los jugadores.
«Todos los nombres de usuario de Animal Jam son moderados por humanos para garantizar que no incluyan el nombre real de un niño u otra información de identificación personal».
La empresa se enteró del ataque el 11 de noviembre cuando los investigadores de amenazas la alertaron después de detectar algunos de los datos que se publicaban en raidforums.com, un foro público, y en el momento de escribir este artículo no parece haber circulado más.
En su declaración, WildWorks hizo hincapié en que no parecía que se hubiera accedido a otros datos de los usuarios y que desde entonces se han protegido todas las bases de datos de los usuarios. Como precaución, se debe hacer que todos los jugadores cambien sus contraseñas inmediatamente en su próximo inicio de sesión, y se les recomienda que verifiquen sus datos en HaveIBeenPwned. Si los titulares de cuentas han creado cuentas en cualquier otro servicio en línea con la misma contraseña, esta también debe cambiarse inmediatamente. También se ha notificado a las fuerzas del orden de los Estados Unidos.
El defensor de la conciencia de seguridad de KnowBe4, Javvad Malik, dijo que era reconfortante ver a WildWorks actuando de forma proactiva en la investigación del incidente con tanta transparencia. Sin embargo, dijo, planteó preguntas sobre cómo la tecnología se ha arraigado profundamente en la vida diaria hasta el punto de que incluso los juegos de los niños deben estar vinculados a cuentas que tengan PII.
”Es por eso que, a gran escala, la fabricación y la tecnología deben trabajar juntas para integrar la seguridad no solo en los productos, sino también para crear una cultura de seguridad que lleve las buenas prácticas de seguridad a la vanguardia. Si bien ningún enfoque podrá prevenir todas las infracciones, es importante que los datos no se recopilen a menos que sea necesario, y que los datos que se recopilen se realicen con fines legítimos y se aseguren adecuadamente ”, dijo Malik.
Brian Higgins de Comparitech agregó: “Es evidente que WildWorks está lidiando con este ataque de la manera más transparente y profesional, pero los datos ya se han visto comprometidos.
“Su consejo a los usuarios para cambiar las contraseñas y monitorear el uso de posibles ataques de phishing es bueno y debe seguirse de inmediato. El período inmediatamente posterior a que se hace pública una infracción de esta naturaleza es el más vulnerable a este tipo de ataques adicionales, ya que los delincuentes buscarán explotar la preocupación y el miedo de los padres, cuidadores y familiares, mientras que WildWorks busca resolver el problema de la manera más segura posible. para todos los interesados.
“Todos y cada uno de los contactos no solicitados deben transmitirse a las autoridades y no deben ser respondidos ni comprometidos bajo ninguna circunstancia. No haga clic en ningún enlace ni proporcione información por muy preocupante que sea esta situación. Es casi seguro que lo empeorará «.
Higgins agregó que, dado que los datos se relacionan con menores, los padres ubicados en el Reino Unido pueden desear aprovechar los recursos del servicio de protección en línea y explotación infantil (CEOP) de la policía, que se puede encontrar en línea y en Twitter. @CEOPUK.