La violazione dei dati di Neopets espone i dati personali di 69 milioni di membri
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 21 Luglio 2022
Tags: #neopets, #sicurezza, #privacy
Tags: #neopets, #sicurezza, #privacy
La violazione dei dati di Neopets espone i dati personali di 69 milioni di membri
Il sito web di animali virtuali Neopets ha subito una violazione dei dati che ha portato al furto del codice sorgente e di un database contenente le informazioni personali di oltre 69 milioni di membri.
Neopets è un popolare sito Web in cui i membri possono possedere, allevare e giocare con i loro animali virtuali. Neopets ha recentemente lanciato NFT che verranno utilizzati come parte di un gioco Metaverse online.
Martedì, un hacker noto come "TarTarX" ha iniziato a vendere il codice sorgente e il database per il sito Web Neopets.com per quattro bitcoin, per un valore di circa $ 94.000 ai prezzi odierni.
In una conversazione con BleepingComputer, TarTarX afferma di aver rubato il database e circa 460 MB (compresso) di codice sorgente per il sito Web neopets.com.
Il venditore afferma che questo database contiene le informazioni sull'account di oltre 69 milioni di membri e in uno screenshot condiviso con BleepingComputer, puoi vedere i dati includono nomi utente, nomi, indirizzi e-mail, codice postale, data di nascita, sesso, paese, un'e-mail di registrazione iniziale e altre informazioni relative al sito/al gioco.
Sebbene gli hacker non abbiano rivelato come hanno ottenuto l'accesso al sito Web, ci hanno detto di non aver riscattato i dati a Jumpstart, i proprietari di Neopets, ma di aver ricevuto interesse da potenziali acquirenti.
Al momento, BleepingComputer non è stato in grado di verificare in modo indipendente l'autenticità del database. Tuttavia, pompompurin, il proprietario del forum di hacking Breached.co, ha verificato le affermazioni dell'hacker registrando un account su Neopets.com e ricevendo il record appena creato dal database.
"Certo, ho registrato un account sul sito Web e ha inviato la voce completa", ha pubblicato pompompurin sui forum di Breached.co.
Inoltre, questa verifica ha mostrato che TarTarX ha continuato ad avere accesso al sito neopets.com anche quando ha iniziato a vendere i dati.
La violazione è confermata
Dopo che la notizia della violazione si è diffusa online, il team di Neopets, designato dall'abbreviazione di TNT, ha confermato sul server non ufficiale di Neopets Discord di essere a conoscenza dell'incidente di sicurezza e di lavorare per risolverlo.
Il membro di TNT Willow ha confermato la violazione
I moderatori volontari di Discord avvertono che la modifica delle password su Neopets potrebbe non aiutare a proteggere il tuo account se gli aggressori hanno ancora accesso ai loro server.
"Dobbiamo notare che l'efficacia della modifica della password Neopets è attualmente discutibile fintanto che gli hacker hanno accesso in tempo reale al database, poiché possono semplicemente verificare qual è la tua nuova password", si legge in un annuncio sul server Neopets Discord.
"Non possiamo quindi consigliarti rigorosamente sulla migliore linea d'azione date le circostanze."
Tuttavia, se utilizzi la stessa password Neopets su altri siti, ti consigliamo vivamente di cambiare la tua password su quei siti con una diversa.
I membri di Neopets possono monitorare un argomento sul sito di assistenza di Neopets Jelleyneo o sull'account Twitter di Jelleyneo, dove altri membri tengono traccia di eventuali aggiornamenti ufficiali dello staff di Neopets.
Questa non è la prima violazione dei dati per Neopets, con i dati dei membri che circolavano in precedenza online nel 2016 a causa di una violazione avvenuta nel 2012.
BleepingComputer ha contattato Jumpstart in merito alla violazione, ma al momento non ha ricevuto risposta.
Altri avevano già accesso
Sebbene questa violazione sembri essere nuova, Neopets ha una storia di accesso non autorizzato ai propri sistemi.
Un utente Reddit di nome neo_truths ha detto a BleepingComputer di aver avuto accesso in "lettura" al database per almeno un anno dopo aver trovato exploit nel codice sorgente trapelato del sito.
neo_truths ci ha detto che usano questo accesso per analizzare e condividere informazioni sulle meccaniche di gioco su Reddit.
Tuttavia, neo_truths ha affermato di aver usato l'exploit di qualcun altro per iniettare codice in una funzione PHP eval() per modificare il gioco come uno scherzo di April Fools.
Sfortunatamente, neo_truths dice che il codice è enorme e distribuito su molti server, con solo pochi sviluppatori per gestirlo. Questa mancanza di personale ha portato a numerose violazioni da parte di più persone in passato, con un exploit utilizzato attivamente segnalato agli sviluppatori che alla fine l'hanno risolto.
"Neo è pieno di violazioni e più persone hanno avuto (e forse hanno ancora) accesso per anni. L'unica differenza è che lo usano privatamente (principalmente per generare e vendere fuori sede) e cerco di affrontare alcuni problemi noti con i dati effettivi", spiega neo_truths in un commento su Reddit.
"Ho già segnalato 2 exploit che hanno consentito l'accesso al db che altre persone avevano utilizzato (uno di loro per mesi/anni difficile da dire). Non avrei potuto trovarli se non avessi avuto accesso io stesso.