A suposta violação de dados do Neopets é oficialmente confirmada. Uma violação de dados no site de animais de estimação virtual Neopets resultou no roubo do código-fonte e de um banco de dados contendo os dados pessoais de mais de 69 milhões de usuários.
O popular site Neopets permite que os usuários criem, cuidem e joguem com animais de estimação virtuais. Os NFTs, que serão incluídos em um jogo online do Metaverse, acabaram de ser lançados pela Neopets.
Na terça-feira, um hacker usando o pseudônimo “TarTarX” começou a oferecer o código-fonte e o banco de dados do site Neopets.com por quatro bitcoins, ou cerca de US$ 94.000 na época.
De acordo com Relatório do BleepingComputerTarTarX afirma que obteve o banco de dados e cerca de 460 MB (compactados) de código fonte para o site neopets.com.
Em uma captura de tela compartilhada pelo BleepingComputer, você pode ver que os dados incluem nomes de usuários, nomes, endereços de e-mail, códigos postais, datas de nascimento, sexo, países, um e-mail de registro inicial e outras informações relacionadas ao site/jogo. O vendedor afirma que esse banco de dados contém as informações da conta de mais de 69 milhões de usuários.
O hacker não exigiu dinheiro dos proprietários do Neopets, Jumpstart, em troca de acesso ao site, mas que eles ouviram de pessoas interessadas em comprar os dados.
O proprietário do site de hackers Breached.co, pompompurin, no entanto, conseguiu confirmar as afirmações do hacker criando uma conta no Neopets.com e solicitando uma cópia de seu registro recém-criado do banco de dados. “Vouch, eu registrei uma conta no site e ele enviou a entrada completa”, escreveu pompompurin nos fóruns do Breached.co.
Essa verificação também demonstrou que o TarTarX teve acesso ao site neopets.com mesmo depois de começar a vender os dados.
A violação de dados do Neopets é oficialmente confirmada
A equipe Neopets, conhecida pela sigla TNT, afirmou no canal não oficial Neopets Discord que está ciente do incidente de segurança e está tentando resolvê-lo após a divulgação online da violação de dados do Neopets.
Alterações na senha da sua conta Neopets podem não ajudar a protegê-la se os invasores ainda tiverem acesso aos seus servidores, alertaram os moderadores voluntários do Discord. Uma declaração foi feita no Servidor de Discord de Neopets:
“Devemos notar que a eficácia de alterar sua senha do Neopets é atualmente discutível, desde que os hackers tenham acesso ao banco de dados, pois eles podem simplesmente verificar qual é sua nova senha. Portanto, não podemos aconselhá-lo estritamente sobre o melhor curso de ação, dadas as circunstâncias.”
Violação de dados do Neopets: o que você deve fazer?
No entanto, é altamente recomendável que você altere sua senha nesses sites para algo diferente se você usar a mesma senha do Neopets em outros sites.
Os membros do Neopets podem seguir um tema para ver se há alguma atualização oficial da equipe Neopets visitando o site de ajuda do Neopets Jelleyneo ou a conta Jelleyneo no Twitter.
Declaração oficial de @Neopets sobre a violação descoberta hoje.
Nenhuma palavra sobre se a vulnerabilidade foi corrigida ou não. Nenhuma confirmação sobre a segurança dos métodos de pagamento Premium/Neocash (nos perguntaram muito sobre isso).
Esperamos ouvir mais. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) 21 de julho de 2022
A Neopets já passou por uma violação de dados, com informações de membros de uma violação que aconteceu em 2012 entrando online em 2016.
Apesar do fato de que essa violação de dados do Neopets parece ser nova, a plataforma tem um histórico de ter sistemas acessados indevidamente.
neo_truthsum membro do Reddit teve acesso de “leitura” ao banco de dados por pelo menos um ano como resultado da descoberta de vulnerabilidades no código-fonte roubado do site, de acordo com a BleepingComputer.
neo_truths, no entanto, afirmou que eles alteraram o jogo como uma piada de primeiro de abril, injetando código em uma função PHP eval() usando o hack de outra pessoa.
Infelizmente, de acordo com neo_truths, existem apenas alguns desenvolvedores para gerenciar a enorme quantidade de código que está disperso em vários servidores. No passado, essa falta de pessoal resultou em várias violações por vários indivíduos, com uma exploração usada ativamente sendo relatada aos desenvolvedores que posteriormente a corrigiram.
“O Neo está cheio de violações e várias pessoas tiveram (e talvez ainda tenham) acesso por anos. A única diferença é que eles usam privadamente (principalmente para geração e venda externa) e eu tento resolver alguns problemas conhecidos com dados reais Eu já relatei 2 exploits que permitiram acesso db que outras pessoas usaram (um deles por meses/anos difícil dizer). Eu não poderia tê-los encontrado se eu não tivesse acesso.
Eu sempre poderia optar por revelar meu próprio método, perdendo assim o acesso, o que seria o correto, mas ao mesmo tempo deixaria os outros livres. Mas sim, eu entendo que, do ponto de vista do usuário, é muito preocupante que alguém possa acessar arbitrariamente seus dados ”, explicou neo_truths em um Comente no Reddit. Você ouviu o último hack do Roblox? Documentos internos são roubados!
Source: Violação de dados da Neopets: dados pessoais de 69 milhões de usuários são roubados
