Speelgoedketen Toy's "R" Us heeft de wachtwoorden van een onbekend aantal gebruikers gereset nadat er eind januari via wachtwoorden die bij andere websites waren gestolen op accounts werd geprobeerd in te loggen. Het ging om accounts van het loyaliteitsprogramma Rewards "R" Us. Via deze accounts kunnen gebruikers "bonuspunten" verzamelen, ook wel Reward Dollars genoemd.

Met deze dollars is het vervolgens mogelijk om speelgoed zowel online als in de winkels van de keten te kopen. Verder kunnen via de accounts cadeaubonnen worden beheerd. Volgens de speelgoedketen werd er van 28 tot en met 30 januari van dit jaar geprobeerd om toegang tot de accounts te krijgen. Hiervoor werden inloggegevens van andere gehackte websites gebruikt. Daarbij kan het zijn dat de aanvallers uiteindelijk ook op de Reward "R" Us-accounts hebben kunnen inloggen, maar Toys "R" Us houdt hier nog een slag om de hand en heeft het over "mogelijk".

Uit voorzorg is echter besloten het wachtwoord van deze gebruikers als gecompromitteerd te beschouwen en te resetten. Gebruikers moeten hun nieuwe wachtwoord via de resetfunctie op de website opvragen. In een bericht (pdf) dat naar getroffen gebruikers werd gestuurd laat de keten verder weten dat er vanuit het account van de gebruiker "Reward Dollars" zijn geprint.

Toys "R" Us zegt niet te kunnen weten wie de dollars heeft geprint, maar zal het opgenomen bedrag in ieder geval vergoeden. Dat geldt ook voor digitale cadeaukaarten die tijdens de aanvalsperiode zijn gebruikt. Het saldo van 27 januari zal op een nieuwe kaart worden geplaatst. Hiervoor zal de speelgoedketen deze week met gedupeerde gebruikers telefonisch contact opnemen.