Se confirma oficialmente la rumoreada violación de datos de Neopets. Una filtración de datos en el sitio web de mascotas virtuales Neopets resultó en el robo del código fuente y de una base de datos que contenía los datos personales de más de 69 millones de usuarios.
El popular sitio web Neopets permite a los usuarios crear, cuidar y jugar con mascotas virtuales. Neopets acaba de lanzar los NFT, que se incluirán en un juego Metaverse en línea.
El martes, un hacker que utilizaba el alias “TarTarX” comenzó a ofrecer el código fuente y la base de datos del sitio web Neopets.com por cuatro bitcoins, o alrededor de 94.000 dólares en ese momento.
De acuerdo a Informe de BleepingComputerTarTarX afirma que obtuvieron la base de datos y alrededor de 460 MB (comprimidos) de código fuente para el sitio web neopets.com.
En una captura de pantalla compartida por BleepingComputer, puede ver que los datos incluyen nombres de usuario, nombres, direcciones de correo electrónico, códigos postales, fechas de nacimiento, género, países, un correo electrónico de registro inicial y otra información relacionada con el sitio/juego. El vendedor afirma que esta base de datos contiene información de cuentas de más de 69 millones de usuarios.
El hacker no exigió dinero a los propietarios de Neopets, Jumpstart, a cambio de acceso al sitio web, sino que había escuchado de personas interesadas en comprar los datos.
Sin embargo, el propietario del sitio de piratería Breached.co, pompompurin, pudo confirmar las afirmaciones del pirata informático creando una cuenta en Neopets.com y solicitando una copia de su registro recién creado en la base de datos. “Ay, registré una cuenta en el sitio web y él envió la entrada completa”, escribió pompompurin en los foros de Breached.co.
Esta verificación también demostró que TarTarX tenía acceso al sitio web neopets.com incluso después de que comenzaron a vender los datos.
Se confirma oficialmente la filtración de datos de Neopets
El equipo de Neopets, conocido por el acrónimo TNT, declaró en el canal no oficial Neopets Discord que están al tanto del incidente de seguridad y están tratando de resolverlo después de que la noticia de la violación de datos de Neopets circulara en línea.
Es posible que los cambios en la contraseña de su cuenta de Neopets no ayuden a protegerla si los atacantes aún tienen acceso a sus servidores, advirtieron los moderadores voluntarios de Discord. Se ha hecho una declaración en el Servidor de discordia de Neopets:
“Debemos tener en cuenta que la efectividad de cambiar su contraseña de Neopets es actualmente discutible siempre que los piratas informáticos tengan acceso en vivo a la base de datos, ya que simplemente pueden verificar cuál es su nueva contraseña. Por lo tanto, no podemos aconsejarle estrictamente sobre el mejor curso de acción dadas las circunstancias”.
Violación de datos de Neopets: ¿Qué debes hacer?
Sin embargo, se recomienda encarecidamente que cambie su contraseña en dichos sitios web por otra diferente si utiliza la misma contraseña de Neopets en otros sitios web.
Los miembros de Neopets pueden seguir un tema para ver si hay actualizaciones oficiales del equipo de Neopets visitando el sitio de ayuda de Neopets Jelleyneo o la cuenta de Twitter de Jelleyneo.
Declaración oficial de @Neopets sobre la infracción descubierta hoy.
No se sabe si la vulnerabilidad ha sido parcheada o no. No hay confirmación sobre la seguridad de los métodos de pago Premium/Neocash (nos han preguntado mucho sobre esto).
Esperamos escuchar más. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) 21 de julio de 2022
Neopets ya ha experimentado una violación de datos, y la información de los miembros de una violación que ocurrió en 2012 llegó a Internet en 2016.
A pesar de que esta violación de datos de Neopets parece ser nueva, la plataforma tiene un historial de acceso inadecuado a sus sistemas.
neo_verdadesun miembro de Reddit ha tenido acceso de “lectura” a la base de datos durante al menos un año como resultado del descubrimiento de vulnerabilidades en el código fuente robado del sitio web, según BleepingComputer.
neo_truths, sin embargo, afirmó que alteraron el juego como una broma del Día de los Inocentes al inyectar código en una función PHP eval() usando el truco de otra persona.
Desafortunadamente, según neo_truths, sólo unos pocos desarrolladores pueden gestionar la enorme cantidad de código que se encuentra disperso en numerosos servidores. En el pasado, esta escasez de personal ha dado lugar a varias infracciones por parte de numerosas personas, y un exploit utilizado activamente fue informado a los desarrolladores, quienes posteriormente lo rectificaron.
“Neo está lleno de infracciones y varias personas tuvieron (y tal vez todavía tengan) acceso durante años. La única diferencia es que lo usan de forma privada (principalmente para generar y vender fuera del sitio) y trato de abordar algunos problemas conocidos con datos reales. Ya informé 2 exploits que permitieron el acceso a la base de datos que otras personas habían usado (uno de ellos durante meses/años). difícil de decir). No podría haberlos encontrado si no hubiera tenido acceso yo mismo.
Siempre podría optar por revelar mi propio método y perder así el acceso, que sería lo correcto, pero al mismo tiempo dejaría que los demás funcionaran libremente. Pero sí, entiendo que desde la perspectiva del usuario es muy preocupante que alguien pueda acceder arbitrariamente a sus datos”, explicó neo_truths en un comentario en Reddit. ¿Escuchaste el último truco de Roblox? ¡Se roban documentos internos!
