Het geruchtmakende datalek van Neopets is officieel bevestigd. Een datalek op de virtuele huisdierenwebsite Neopets resulteerde in de diefstal van de broncode en een database met de persoonlijke gegevens van meer dan 69 miljoen gebruikers.
Op de populaire website Neopets kunnen gebruikers virtuele huisdieren maken, verzorgen en spelen. NFT’s, die zullen worden opgenomen in een online Metaverse-game, zijn zojuist door Neopets uitgebracht.
Op dinsdag begon een hacker die onder de alias “TarTarX” gebruikte de broncode en database van de Neopets.com-website aan te bieden voor vier bitcoins, destijds ongeveer $ 94.000.
Volgens Het rapport van BleepingComputerbeweert TarTarX dat ze de database en ongeveer 460 MB (gecomprimeerde) broncode voor de website neopets.com hebben verkregen.
In een screenshot gedeeld door BleepingComputer, kun je zien dat de gegevens de gebruikersnamen, namen, e-mailadressen, postcodes, geboortedata, geslacht, landen, een eerste registratie-e-mail en andere site-/game-gerelateerde informatie bevatten. De verkoper beweert dat deze database de accountinformatie van meer dan 69 miljoen gebruikers bevat.
De hacker eiste geen geld van de eigenaren van Neopets, Jumpstart, in ruil voor toegang tot de website, maar had gehoord van mensen die geïnteresseerd waren in het kopen van de data.
De eigenaar van de hacksite Breached.co, pompompurin, was echter in staat om de beweringen van de hacker te bevestigen door een account aan te maken op Neopets.com en een kopie van hun nieuwe record uit de database op te vragen. “Vouch, ik heb een account op de website geregistreerd en hij heeft het volledige bericht verzonden”, schreef pompompurin op de Breached.co-forums.
Deze verificatie toonde ook aan dat TarTarX toegang had tot de website neopets.com, zelfs nadat ze de gegevens begonnen te verkopen.
Neopets datalek officieel bevestigd
Het Neopets-team, bekend onder het acroniem TNT, verklaarde op het onofficiële Neopets Discord-kanaal dat ze op de hoogte zijn van het beveiligingsincident en proberen het op te lossen nadat het nieuws over het Neopets-datalek online was verspreid.
Wijzigingen in het wachtwoord van uw Neopets-account kunnen het niet helpen beveiligen als de aanvallers nog steeds toegang hebben tot hun servers, hebben vrijwillige Discord-moderators gewaarschuwd. Er is een verklaring afgelegd in de Discord-server van Neopets:
“We moeten er rekening mee houden dat de effectiviteit van het wijzigen van uw Neopets-wachtwoord momenteel discutabel is zolang hackers live toegang hebben tot de database, omdat ze eenvoudig kunnen controleren wat uw nieuwe wachtwoord is. We kunnen u daarom niet strikt adviseren over de beste handelwijze gezien de omstandigheden.”
Neopets datalek: wat moet je doen?
Het wordt echter sterk aangeraden om uw wachtwoord op dergelijke websites te wijzigen in iets anders als u hetzelfde Neopets-wachtwoord op andere websites gebruikt.
Leden van Neopets kunnen volgen onderwerp om te zien of er officiële updates zijn van het Neopets-team door de Neopets Help-site Jelleyneo of het Jelleyneo Twitter-account te bezoeken.
Officiële verklaring van @Neopets over de vandaag ontdekte inbreuk.
Geen woord over of de kwetsbaarheid is gepatcht of niet. Geen bevestiging over de veiligheid van Premium/Neocash-betaalmethoden (we hebben hier veel over gevraagd).
We hopen meer te horen. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) 21 juli 2022
Neopets heeft al te maken gehad met een datalek, waarbij ledeninformatie van een datalek in 2012 in 2016 online kwam.
Ondanks het feit dat dit Neopets-datalek gloednieuw lijkt te zijn, heeft het platform een geschiedenis van ongepaste toegang tot systemen.
neo_truthsheeft een Reddit-lid volgens BleepingComputer al minstens een jaar ‘lees’-toegang tot de database als gevolg van het ontdekken van kwetsbaarheden in de gestolen broncode van de website.
neo_truths beweerde echter dat ze het spel veranderden als een 1 aprilgrap door code te injecteren in een PHP eval()-functie met behulp van de hack van iemand anders.
Helaas zijn er volgens neo_truths maar een paar ontwikkelaars om de enorme hoeveelheid code te beheren die over talloze servers is verspreid. In het verleden heeft dit personeelstekort geleid tot verschillende inbreuken door tal van individuen, waarbij één actief gebruikte exploit werd gemeld aan de ontwikkelaars die het vervolgens hebben verholpen.
“Neo zit vol met inbreuken en meerdere mensen hadden (en hebben misschien nog steeds) jarenlang toegang. Het enige verschil is dat ze het privé gebruiken (meestal voor het genereren en verkopen van offsite) en ik probeer een aantal bekende problemen met feitelijke gegevens aan te pakken. moeilijk te zeggen). Ik had ze niet kunnen vinden als ik zelf geen toegang had.
Ik kon er altijd voor kiezen om mijn eigen methode te onthullen en zo de toegang te verliezen, wat het juiste zou zijn, maar tegelijkertijd zouden de anderen de vrije loop laten. Maar ja, ik begrijp dat het vanuit gebruikersperspectief zeer zorgwekkend is dat iemand willekeurig toegang heeft tot zijn gegevens”, legt neo_truths uit in een opmerking op Reddit. Heb je de nieuwste Roblox-hack gehoord? Interne documenten zijn gestolen!
Source: Neopets datalek: persoonlijke gegevens van 69 miljoen gebruikers worden gestolen
