Criminosos vendem e-mails e senhas de milhões de jogadores de Animal Jam
Por Felipe Demartini | 11 de Dezembro de 2020 às 19h20
Os dados de dezenas de milhões de jogadores do game mobile Animal Jam estão sendo expostos na internet por hackers, que disponibilizaram uma amostra do volume completo, contendo endereços de e-mail e senhas de usuários das versões Android, iOS, PC e Mac do título. O banco de dados contém cerca de um milhão de registros desse tipo, dos mais 100 mil foram liberados pelos hackers como forma de comprovar a posse das informações.
- Exclusivo | Usuários de torrent recebem cobrança no valor de R$ 3 mil no Brasil
- Spotify compartilhou seus dados com parceiros “sem querer”; resete sua senha
- Quais são as prioridades para a cibersegurança corporativa nos próximos anos?
O vazamento seria fruto de uma intrusão aos servidores da companhia detectada em meados de novembro, mas realizada em outubro, pela qual cerca de 50 milhões de registros de jogadores teriam sido obtidos. Acreditava-se que os dados roubados estariam protegidos por criptografia, mas os hackers responsáveis pela atual oferta de venda indicam que alguns deles puderam ser descriptografados, levando à divulgação atual.
Os números do vazamento também impressionam. De acordo com os dados oficiais da desenvolvedora WildWorks, responsável por Animal Jam, são 130 milhões de contas registradas em todo o mundo. Levando em conta que os registros são compostos apenas por e-mails e senhas de usuários, uma base potencial de 25 milhões de pessoas pode ter sido atingida.
Pelo menos 436 contas comprometidas pertencem a brasileiros, que usam endereços de e-mail finalizados com .br. Entretanto, esse número conta apenas parte da história, já que serviços de correio eletrônico como Gmail.com ou Yahoo.com podem ser utilizados pelos jogadores no cadastro, ampliando significativamente o total de cidadãos de nosso país cujos dados foram comprometidos. Um número exato, entretanto, é desconhecido.
De acordo com as informações do site CyberNews, responsável por divulgar a exposição, as informações vendidas estão disponíveis em texto simples, com os e-mails e senhas utilizados pelos jogadores de Animal Jam em diferentes plataformas. A liberação ampla assume ares ainda mais perigosos quando se leva em conta que os dados podem ser utilizados não apenas para acessar e roubar contas do próprio game, mas também em tentativas de invasão a perfis em redes sociais, e-mails e outras plataformas, além de tentativas de aplicação de golpes.
Em comunicado, a WildWorks confirmou ter sido vítima de um ataque, cujo vetor foram os servidores de um parceiro comercial que fornece os serviços de comunicação interna para a companhia. Além de e-mails e senhas, os criminosos teriam obtidos as datas de nascimento dos jogadores, gêneros, endereços parciais registrados junto a meios de pagamentos e nomes completos de pais que gerenciam contas de filhos pequenos, além da diferenciação entre estes perfis compartilhados e aqueles que permitem o acesso direto pelos próprios usuários. Dados financeiros não teriam sido vazados.
A empresa também confirmou a disponibilização de parte das informações pelos hackers e disse estar trabalhando com autoridades em uma investigação oficial. Além disso, a WildWorks citou parcerias com especialistas em segurança digital, bem como a disponibilização dos dados vazados ao site Have I Been Pwned?, como forma de facilitar que os usuários saibam se suas contas foram comprometidas ou não.
Ainda, todas as contas registradas em Animal Jam terão que passar por um processo de troca de senha, mesmo que não tenham sido comprometidas. A empresa também confirmou que vai contatar os usuários atingidos por e-mail, passando informações e prestando auxílio sobre a exposição dos dados de acesso ao título.
Cuidados com os filhos
De posse das senhas, os hackers podem tentar acessar outras contas que compartilhem as mesmas credenciais, com os dados obtidos servindo para novos golpes e extorsões contra as vítimas. Da mesma forma, ataques de engenharia social podem ser realizados contra os jogadores em nome da desenvolvedora de Animal Jam ou terceiros, usando a própria intrusão e vazamento como vetor para levar os jogadores a entregarem ainda mais informação.
Os especialistas apontam ainda para um perigo em potencial envolvendo a exposição, por se tratar de um game voltado para o público infantil. O alerta do CyberNews envolve avisos especificamente aos pais, que devem trocar as senhas de acesso dos filhos e, também, outras credenciais semelhantes que sejam usadas em outros jogos e dispositivos, além de monitorar as comunicações para evitar que os pequenos caiam em golpes.
O mesmo, aliás, vale para todos. Não é uma prática segura utilizar a mesma senha em mais de um serviço já que, em caso como estes, todos podem acabar sendo comprometidos de uma só vez. O ideal é usar mecanismos como a verificação em duas etapas, que adiciona uma camada adicional de proteção mesmo no caso de um atacante possuir suas credenciais, e utilizar combinações aleatórias, complexas e exclusivas para cada plataforma.