Pogłoski o naruszeniu danych Neopets zostały oficjalnie potwierdzone. Włamanie danych na portalu wirtualnych zwierząt Neopets spowodowało kradzież kodu źródłowego oraz bazy danych zawierającej dane osobowe ponad 69 milionów użytkowników.
Popularna witryna Neopets pozwala użytkownikom tworzyć, opiekować się i grać w gry z wirtualnymi zwierzakami. NFT, które zostaną włączone do internetowej gry Metaverse, zostały właśnie wydane przez Neopets.
We wtorek haker używający aliasu „TarTarX” zaczął oferować kod źródłowy i bazę danych witryny Neopets.com za cztery bitcoiny, czyli w tamtym czasie około 94 000 dolarów.
Według Raport BleepingComputerTarTarX twierdzi, że uzyskał bazę danych i około 460 MB (skompresowanego) kodu źródłowego dla strony neopets.com.
Na zrzucie ekranu udostępnionym przez BleepingComputer możesz zobaczyć, że dane obejmują nazwy użytkowników, imiona, adresy e-mail, kody pocztowe, daty urodzenia, płeć, kraje, pierwszy e-mail rejestracyjny i inne informacje związane z witryną/grą. Sprzedawca twierdzi, że ta baza danych zawiera informacje o koncie ponad 69 milionów użytkowników.
Haker nie zażądał pieniędzy od właścicieli Neopets, Jumpstart, w zamian za dostęp do strony internetowej, ale usłyszał od osób zainteresowanych kupnem danych.
Pompompurin, właściciel witryny hakerskiej Breached.co, zdołał jednak potwierdzić twierdzenia hakera, zakładając konto na Neopets.com i prosząc o kopię ich świeżo utworzonego rekordu z bazy danych. „Vouch, zarejestrowałem konto na stronie i wysłał cały wpis” – napisał pompompurin na forach Breached.co.
Ta weryfikacja wykazała również, że TarTarX miał dostęp do strony neopets.com nawet po rozpoczęciu sprzedaży danych.
Naruszenie danych Neopets zostało oficjalnie potwierdzone
Zespół Neopets, znany pod akronimem TNT, oświadczył na nieoficjalnym kanale Neopets Discord, że jest świadomy incydentu związanego z bezpieczeństwem i próbuje go rozwiązać po tym, jak wiadomość o naruszeniu danych Neopets krążyła w Internecie.
Zmiany hasła do konta Neopets mogą nie pomóc w zabezpieczeniu go, jeśli atakujący nadal mają dostęp do swoich serwerów, ostrzegają moderatorzy Discord. Oświadczenie zostało złożone w Discord serwer Neopets:
„Powinniśmy zauważyć, że skuteczność zmiany hasła Neopets jest obecnie dyskusyjna, o ile hakerzy mają dostęp do bazy danych na żywo, ponieważ mogą po prostu sprawdzić, jakie jest twoje nowe hasło. Dlatego nie możemy ściśle doradzić najlepszego sposobu działania w danych okolicznościach”.
Naruszenie danych Neopets: co powinieneś zrobić?
Jednak zdecydowanie zalecamy zmianę hasła na takich stronach internetowych na inne, jeśli używasz tego samego hasła Neopets na innych stronach internetowych.
Członkowie Neopets mogą śledzić temat aby sprawdzić, czy są jakieś oficjalne aktualizacje od zespołu Neopets, odwiedzając stronę pomocy Neopets Jelleyneo lub konto Jelleyneo na Twitterze.
Oficjalne oświadczenie złożone przez @Neopek o ujawnionym dzisiaj wyłomie.
Brak informacji o tym, czy usterka została załatana, czy nie. Brak potwierdzenia bezpieczeństwa metod płatności Premium/Neocash (często nas o to pytano).
Mamy nadzieję, że usłyszymy więcej. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) 21 lipca 2022
Neopets doświadczyło już naruszenia danych, a informacje o członkach z naruszenia, które miało miejsce w 2012 r., trafiły online w 2016 r.
Pomimo faktu, że to naruszenie danych Neopets wydaje się być zupełnie nowe, platforma ma historię niewłaściwego dostępu do systemów.
neo_prawdyczłonek Reddit miał dostęp do bazy danych w trybie „odczyt” od co najmniej roku w wyniku wykrycia luk w skradzionym kodzie źródłowym witryny, według BleepingComputer.
Jednak neo_truths stwierdzili, że zmienili grę jako żart primaaprilisowy, wstrzykując kod do funkcji PHP eval() przy użyciu czyjegoś hacka.
Niestety, zgodnie z neo_truths, tylko kilku programistów zarządza ogromną ilością kodu rozproszonego na wielu serwerach. W przeszłości ten brak personelu skutkował różnymi naruszeniami bezpieczeństwa przez wiele osób, a jeden aktywnie wykorzystywany exploit został zgłoszony programistom, którzy następnie go naprawili.
„Neo jest pełne włamań, a wiele osób miało (i być może nadal ma) dostęp od lat. Jedyną różnicą jest to, że używają go prywatnie (głównie do genningu i sprzedaży poza witryną) i staram się rozwiązać niektóre znane problemy z rzeczywistymi danymi. Zgłosiłem już 2 exploity, które umożliwiały dostęp do bazy danych, z którego korzystały inne osoby (jeden z nich przez miesiące/lata ciężko powiedzieć). Nie mógłbym ich znaleźć, gdybym sam nie miał do nich dostępu.
Zawsze mogłem zdecydować się na ujawnienie mojej własnej metody, tracąc dostęp, co byłoby właściwe, ale jednocześnie pozwoliłoby innym działać swobodnie. Ale tak, rozumiem, że z perspektywy użytkownika bardzo niepokojące jest to, że ktoś może arbitralnie uzyskać dostęp do swoich danych ”- wyjaśnił neo_truths w komentarz na Reddicie. Słyszałeś najnowszy hack Robloxa? Kradzież dokumentów wewnętrznych!
Source: Naruszenie danych Neopets: kradzież danych osobowych 69 milionów użytkowników