La supuesta violación de datos de Neopets se confirma oficialmente. Una violación de datos en el sitio web de mascotas virtuales Neopets resultó en el robo del código fuente y una base de datos que contiene los datos personales de más de 69 millones de usuarios.
El popular sitio web Neopets permite a los usuarios crear, cuidar y jugar con mascotas virtuales. Los NFT, que se incluirán en un juego Metaverse en línea, acaban de ser lanzados por Neopets.
El martes, un pirata informático que usaba el alias “TarTarX” comenzó a ofrecer el código fuente y la base de datos del sitio web Neopets.com por cuatro bitcoins, o alrededor de $ 94,000 en ese momento.
Según el informe de BleepingComputer, TarTarX afirma que obtuvieron la base de datos y unos 460 MB (comprimidos) del código fuente del sitio web neopets.com.
En una captura de pantalla compartida por BleepingComputer, puede ver que los datos incluyen los nombres de usuario, nombres, direcciones de correo electrónico, códigos postales, fechas de nacimiento, sexo, países, un correo electrónico de registro inicial y otra información relacionada con el sitio/juego de los miembros. El vendedor afirma que esta base de datos contiene la información de la cuenta de más de 69 millones de usuarios.
El hacker no exigió dinero a los propietarios de Neopets, Jumpstart, a cambio del acceso al sitio web, sino que había oído hablar de personas interesadas en comprar los datos.
Sin embargo, el propietario del sitio de piratería Breached.co, pompompurin, pudo confirmar las afirmaciones del pirata informático creando una cuenta en Neopets.com y solicitando una copia de su registro recién creado de la base de datos. “Vale, registré una cuenta en el sitio web y él envió la entrada completa”, escribió pompompurin en los foros de Breached.co.
Esta verificación también demostró que TarTarX tenía acceso al sitio web neopets.com incluso después de que comenzaron a vender los datos.
La violación de datos de Neopets se confirma oficialmente
El equipo de Neopets, conocido por el acrónimo de TNT, declaró en el canal no oficial de Discord de Neopets que están al tanto del incidente de seguridad y están tratando de resolverlo después de que circuló en línea la noticia de la violación de datos de Neopets.
Es posible que los cambios en la contraseña de su cuenta de Neopets no ayuden a protegerla si los atacantes aún tienen acceso a sus servidores, advirtieron los moderadores voluntarios de Discord. Se ha hecho un comunicado en el servidor de Discord de Neopets:
“Debemos tener en cuenta que la efectividad de cambiar su contraseña de Neopets es actualmente discutible siempre que los piratas informáticos tengan acceso en vivo a la base de datos, ya que simplemente pueden verificar cuál es su nueva contraseña. Por lo tanto, no podemos aconsejarle estrictamente sobre el mejor curso de acción dadas las circunstancias”.
Violación de datos de Neopets: ¿Qué debes hacer?
Sin embargo, se recomienda enfáticamente que cambie su contraseña en dichos sitios web a algo diferente si usa la misma contraseña de Neopets en otros sitios web.
Los miembros de Neopets pueden seguir un tema para ver si hay actualizaciones oficiales del equipo de Neopets visitando el sitio de ayuda de Neopets Jelleyneo o la cuenta de Twitter de Jelleyneo.
Comunicado oficial de @neopets sobre la brecha descubierta hoy.
No se sabe si la vulnerabilidad ha sido reparada o no. No hay confirmación sobre la seguridad de los métodos de pago Premium/Neocash (nos han preguntado mucho sobre esto).
Esperamos escuchar más. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) 21 de julio de 2022
Neopets ya ha experimentado una violación de datos, con información de miembros de una violación que ocurrió en 2012 que se abrió paso en línea en 2016.
A pesar de que esta violación de datos de Neopets parece ser nueva, la plataforma tiene un historial de acceso indebido a los sistemas.
neo_truths, un miembro de Reddit ha tenido acceso de “lectura” a la base de datos durante al menos un año como resultado de descubrir vulnerabilidades en el código fuente robado del sitio web, según BleepingComputer.
neo_truths, sin embargo, afirmó que alteraron el juego como una broma del Día de los Inocentes al inyectar código en una función PHP eval() usando el truco de otra persona.
Desafortunadamente, según neo_truths, solo hay unos pocos desarrolladores para administrar la enorme cantidad de código que se encuentra disperso en numerosos servidores. En el pasado, esta escasez de personal ha resultado en varias infracciones por parte de numerosas personas, con un exploit utilizado activamente informado a los desarrolladores que posteriormente lo rectificaron.
“Neo está lleno de infracciones y varias personas tuvieron (y quizás aún tengan) acceso durante años. La única diferencia es que lo usan de forma privada (principalmente para generar y vender fuera del sitio) y trato de abordar algunos problemas conocidos con datos reales. Ya he informado de 2 exploits que permitieron el acceso a la base de datos que otras personas habían usado (uno de ellos durante meses/años). difícil de decir). No podría haberlos encontrado si no hubiera tenido acceso yo mismo.
Siempre podría optar por revelar mi propio método y así perder el acceso, que sería lo correcto, pero al mismo tiempo dejaría que los demás funcionaran libremente. Pero sí, entiendo que, desde la perspectiva del usuario, es muy preocupante que alguien pueda acceder arbitrariamente a sus datos”, explicó neo_truths en un comentario en Reddit. ¿Escuchaste el último hack de Roblox? ¡Se roban los documentos internos!
Source: Violación de datos de Neopets: se roban datos personales de 69 millones de usuarios
