Hoewel het datalek een maand geleden plaatsvond kwam WildWorks daar pas afgelopen week achter toen het door onderzoekers werd gewaarschuwd. Die zagen dat de gebruikersdata op een forum werd geplaatst en informeerden vervolgens de spelontwikkelaar. Volgens WildWorks wisten de aanvallers toegang tot de server van een leverancier te krijgen die het voor interne bedrijfscommunicatie gebruikt. Daar wisten ze een key te bemachtigen die toegang tot de database gaf, aldus een verklaring van WildWorks. Verdere details over de aanval zijn niet gegeven.

De gestolen data gaat tot tien jaar terug. Het betreft zeven miljoen e-mailadressen van ouders waar zo’n 32 miljoen gebruikersnamen aan zijn gekoppeld. Verder bevat de database via het PBKDF2-algoritme gehashte wachtwoorden. Ook gaat het bij 23,9 miljoen gebruikers om het opgegeven geslacht, was bij 14,8 miljoen gebruikers het geboortejaar vermeld en waren 5,7 miljoen accounts van de volledige geboortedatum voorzien. Ruim 12.000 ouder-accounts bevatten de volledige naam en het factuuradres. Bij meer dan 16.000 ouder-accounts gaat het alleen om de naam.

Naar aanleiding van het datalek moeten alle spelers van Animal Jam hun wachtwoord wijzigen. Daarnaast zegt WildWorks dat het alle gebruikersdatabases tegen soortgelijke aanvallen heeft beveiligd, maar details worden niet gegeven. De zeven miljoen buitgemaakte e-mailadressen zijn toegevoegd aan Have I Been Pwned. Een zoekmachine waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 55 procent al via een ander datalek bij Have I Been Pwned bekend.

Lees meer op security.nl