Webkinz 어린이 게임의 2,300만 사용자 계정 및 패스워드 유출돼

Hacker leaks 23 million usernames and passwords from Webkinz children's game

한 해커가 캐나다의 장난감 회사인 Ganz의 어린이 온라인 게임인 Webkinz World의 약 2,300만 플레이어의 사용자 계정 및 패스워드를 유출했습니다.

이 게임은 Ganz 봉제완구 관련 온라인 제품으로 2005년 런칭되었습니다. 

사용자는 Webkinz 웹사이트에서 그들이 구매한 봉제 인형의 코드를 입력하여 그들의 인형을 가상 펫 형태로 가질 수 있습니다.

이 게임은 지난 10년 동안 Disney's Club Penguin 다음으로 가장 성공적인 온라인 어린이 게임으로 꼽힙니다.

하지만 한 익명 해커가 이 게임의 데이터베이스 중 일부를 유명 해킹 포럼에 게시했습니다.

 

ZDNet은 데이터 유출 모니터링 서비스인 Under the Breach를 통해 유출된 파일의 복사본을 얻을 수 있었습니다.

온라인에 업로드된 이 1GB 상당 파일은 사용자의 계정 패스워드 쌍 22,982,319개를 포함하고 있었습니다. 패스워드는 MD5로 암호화된 상태였습니다.

<이미지 출처: https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/>

ZDNet은 이 해킹 사건과 관련된 한 소식통으로부터 이 사고가 이달 초 발생했다는 제보를 받았습니다.

해커는 웹사이트의 웹 양식에 존재하는 SQL 인젝션 취약점을 통해 해당 게임의 데이터베이스에 접근한 것으로 알려졌습니다.

또한 이 취약점은 이 유출 사건이 발생하기 전 수개월 동안 해킹 포럼과 온라인 IM 채팅 그룹을 통해 온라인에 떠돌고 있었던 것으로 나타났습니다.

 

<이미지 출처: https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/>

또한 해커들은 사용자 이름과 패스워드 쌍 이외에도 부모 이메일 주소의 해싱된 버전을 손에 넣은 것으로 알려졌습니다. 하지만 이 데이터는 유출되지 않았습니다.

제보자는 Webkinz 측이 침입을 감지하고 해커의 시스템 침투 지점을 패치했다고 전했습니다.

이에 대해 Ganz 측은 웹사이트에 공격이 발생했다는 사실은 인지하고 있으나, 이 공격이 성공했는지는 알지 못했으며 더욱 철저한 보안 장치를 추가했다고 밝혔습니다.

Webkinz는 "사용자의 성별, 전화번호 또는 주소를 요구한 사실이 없습니다. 따라서 Webkinz를 통해 이 정보에 접근할 수 있는 방법은 전혀 없습니다. 따라서 해커가 암호를 해독하더라도 게임 데이터 이외 가치 있는 정보를 얻는 것은 불가능합니다.”라고 전했습니다.

출처:

https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/