Хакер под ником Gnosticplayers рассказал о взломе нескольких приложений крупнейшего американского разработчика онлайн-игр Zynga Inc. По его словам, он получил доступ к данным 218 млн игроков. Утечка затронула всех пользователей Android и iOS, которые установили игру-головоломку Words With Friends и зарегистрировались в ней до 3 сентября этого года.
Взломщик поделился с изданием The Hacker News данными нескольких аккаунтов. Судя по этим образцам, к нему попали имена пользователей, адреса электронной почты, хэшированные пароли с солью, токены сброса паролей (если их сбрасывали), номера телефонов и Facebook ID (если были указаны при регистрации), а также идентификаторы аккаунта Zynga.
Gnosticplayers добавил, что ему также удалось похитить данные пользователей Draw Something и игры OMGPOP, которая уже не поддерживается производителем. По его словам, среди информации, к которой он получил доступ, были 7 млн паролей пользователей в незашифрованном виде.
12 сентября представители Zynga опубликовали официальное заявление об утечке данных из Words With Friends и Draw Something, но не раскрыли количество пострадавших пользователей. Они сообщили, что уже начали расследование и привлекли к нему сторонних специалистов и правоохранительные органы. Также разработчики предприняли шаги для защиты учетных записей пользователей, но призвали самих игроков проявить бдительность.
Zynga Inc — один из самых успешных разработчиков онлайн-игр с текущей рыночной капитализацией в более чем 5 млрд долларов. Компании принадлежат такие игры, как FarmVille, Words With Friends, Zynga Poker, Mafia Wars и Café World, насчитывающие миллиард пользователей по всему миру.
Эксперты по кибербезопасности не считают, что этот взлом игр принесет жертвам небывалый урон, но неоднозначно оценивают подход компании Zynga к защите данных.
Джавад Малик (Javvad Malik) из компании KnowBe4 отметил оперативную реакцию разработчика на инцидент, но заявил, что «в наши дни ни одна компания не должна хранить пароли в открытом доступе».
Илья Колоченко (Ilia Kolochenko), основатель и генеральный директор компании ImmuniWeb, не торопится делать выводы о масштабах атаки до окончания расследования, но уверен, что полученная информация «не даст злоумышленникам огромного пространства для маневра».
В марте этого года Gnosticplayers выставил на продажу похищенные данные 26 миллионов пользователей и объяснил это желанием проучить компании за наплевательское отношение к защите данных. «Столь низкий уровень безопасности в 2019 году меня просто бесит», — признался злоумышленник.
Источник: https://threatpost.ru/hacker-told-about-zynga-games-data-breach/34341/