Jeu en ligne pour enfants Animal Jam confirme grande violation

Des informations personnelles identifiables (PII) sur pas moins de 46 millions de joueurs du jeu pour enfants en ligne Animal Jam, y compris les dates de naissance, le sexe et les noms complets des parents et les adresses de facturation, ont été volés lors d’une cyberattaque sur un serveur d’un fournisseur tiers utilisé par les développeurs du jeu WildWorks

Lancé en 2010 comme un « terrain de jeu en ligne passionnant et sûr pour les enfants qui aiment les animaux et le plein air », Animal Jam compte environ 130 millions d’utilisateurs et plus de 300 millions d’avatars individuels.

La base de données, vu circulant en ligne dans les forums souterrains, est soupçonné d’avoir été volé par un acteur malveillant en utilisant l’alias ShinyHunters, et selon Bleeping Computer, qui a d’abord rapporté l’histoire, a probablement été prise à la mi-Octobre 2020.

Wildworks a déclaré que la base de données contenait des adresses e-mail liées à sept millions de comptes parents Animal Jam et Animal Jam Classic, 32 millions de noms d’utilisateur de joueurs associés à ces comptes, mots de passe cryptés, 14,8 millions d’années de naissance de joueurs, 23,9 millions de dossiers de sexe joueur, 5,7 millions de dates de naissance précises joueur, 12 653 noms complets des parents et adresses de facturation, et 16 131 noms complets des parents sans une adresse associée.

Dans un communiqué, WildWorks a déclaré: « Nous pensons que les informations volées ont été limitées aux éléments énumérés ci-dessus. Aucun vrai nom d’enfants ne faisait partie de cette violation. Le nom de facturation et l’adresse de facturation ont été inclus dans 0,02 % des dossiers volés; sinon, aucune information de facturation n’a été volée, ni des informations qui pourraient potentiellement identifier les parents des joueurs.

« Tous les noms d’utilisateur Animal Jam sont modérés par l’homme pour s’assurer qu’ils n’incluent pas le vrai nom d’un enfant ou d’autres informations d’identification personnelle. »

L’entreprise a appris l’attaque du 11 novembre lorsque des chercheurs l’ont alertée après avoir repéré certaines des données affichées à raidforums.com, un forum public, et au moment d’écrire ces lignes, elle ne semble pas avoir été diffusée davantage.

Dans sa déclaration, WildWorks a souligné qu’aucune autre donnée utilisateur ne semblait avoir été consultée et que toutes les bases de données utilisateur ont depuis été sécurisées. Par mesure de précaution, tous les joueurs doivent être obligés de changer leurs mots de passe immédiatement sur leur prochaine connexion, et sont invités à vérifier leurs données sur HaveIBeenPwned. Si les titulaires de compte ont créé des comptes à n’importe quel autre service en ligne en utilisant le même mot de passe, cela doit également être modifié immédiatement. Les forces de l’ordre américaines ont également été avisées.

Le défenseur de la sensibilisation à la sécurité de KnowBe4, Javvad Malik, a déclaré qu’il était rassurant de voir WildWorks agir de manière proactive dans l’enquête sur l’incident avec une telle transparence. Cependant, il a dit, il a soulevé des questions sur la façon dont la technologie est devenue profondément ancrée dans la vie quotidienne dans la mesure où même les jeux pour enfants doivent être liés à des comptes qui détiennent PII.

« C’est pourquoi, à grande échelle, la fabrication et la technologie doivent travailler ensemble pour intégrer la sécurité non seulement dans les produits, mais aussi pour créer une culture de sécurité qui met les bonnes pratiques en matière de sécurité au premier plan. Bien qu’aucune approche ne sera en mesure de prévenir toutes les violations, il est important que les données ne soient pas recueillies à moins que nécessaire, et les données qui sont recueillies sont faites à des fins légitimes et sécurisées correctement », a déclaré Malik.

Brian Higgins, de Comparitech, a ajouté : « WildWorks traite clairement cette attaque de la manière la plus transparente et la plus professionnelle, mais les données ont déjà été compromises.

« Leur conseil aux utilisateurs de changer de mot de passe et de surveiller l’utilisation d’éventuelles attaques de phishing est bon et doit être suivi immédiatement. La période qui s’est terminée directement après qu’une violation de cette nature soit rendue publique est la plus vulnérable à ce genre d’autres attaques, car les criminels chercheront à exploiter l’inquiétude et la peur des parents, des soignants et des membres de la famille, tandis que WildWorks cherche à résoudre le problème de la façon la plus sécuritaire possible pour toutes les parties concernées.

« out contact non sollicité doit être transmis aux autorités et ne pas être répondu ou engagé avec en aucune circonstance. Ne cliquez pas sur des liens ou de fournir des informations si inquiétant cette situation peut être. Vous allez presque certainement aggraver les choses.

Higgins a ajouté que, compte tenu des données relatives aux mineurs, les parents situés au Royaume-Uni peuvent souhaiter s’appuyer sur les ressources du service de la police pour l’exploitation des enfants et la protection en ligne (CEOP), qui peuvent être trouvés en ligne et tweeting @CEOPUK.