文章摘要:虚拟宠物网站 Neopets 遭遇数据泄露,导致源代码和包含超过 6900 万会员个人信息的数据库被盗。虚拟宠物网站Neopets最近推出自家NFT完善他们的元宇宙架构,没成想吸引了黑客注意力,成为炙手可热的目标,不久便被攻破出现数据泄露。周二,黑客“TarTarX”在黑客市场以四个比特币的售价出售Neopets网站源代码和数据库,当前价值近十万美元。有安全研究员尝试接触黑客,获知他们窃取了网站4
虚拟宠物网站 Neopets 遭遇数据泄露,导致源代码和包含超过 6900 万会员个人信息的数据库被盗。
虚拟宠物网站Neopets最近推出自家NFT完善他们的元宇宙架构,没成想吸引了黑客注意力,成为炙手可热的目标,不久便被攻破出现数据泄露。
周二,黑客“TarTarX”在黑客市场以四个比特币的售价出售Neopets网站源代码和数据库,当前价值近十万美元。有安全研究员尝试接触黑客,获知他们窃取了网站460MB的源代码压缩包及6900万用户的账号信息,包括姓名、邮箱、邮政编码、生日、性别、国家等。不过黑客没有详细说明是如何攻破网站的,只说并没有让Neopets交赎金的计划,且已找到对此心仪的买家。目前还无法确认数据的真实性,但黑客市场的管理员出来站台表示进行了验证无误。
随后,Neopets团队在非官方渠道确认了此攻击,表示确实是安全事件,也在抓紧调查修复,黑客的访问可能仍未被阻断。有匿名人士趁机爆料,他们的系统早已千疮百孔,泄露数据无数,这次只是第一次被摆上台面,真实性未知。
卖家称该数据库包含超过 6900 万会员的账户信息,在与 BleepingComputer 分享的截图中,您可以看到数据包括会员的用户名、姓名、电子邮件地址、邮政编码、出生日期、性别、国家、初始注册电子邮件和其他网站/游戏相关信息。
虽然黑客不会透露他们是如何访问该网站的,但他们告诉我们,他们没有将数据赎回给 Neopets 的所有者 Jumpstart,但已收到潜在买家的兴趣。
目前,BleepingComputer 还无法独立验证数据库的真实性。然而,Breached.co 黑客论坛的所有者 pompompurin 通过在 Neopets.com 上注册一个帐户并从数据库中发送他们新创建的记录来验证黑客的说法。
“保证,我在网站上注册了一个帐户,他发送了完整的条目,” pompompurin 在 Breached.co 论坛上发布。
此外,该验证表明,即使 TarTarX 开始销售数据,他们仍然可以访问 neopets.com 网站。
确认违规
违规消息在网上传播后,由 TNT 缩写指定的 Neopets 团队已在非官方的 Neopets Discord 服务器上确认,他们知道安全事件并正在努力解决它。
志愿者 Discord 版主警告说,如果攻击者仍然可以访问他们的服务器,更改 Neopets 上的密码可能无助于保护您的帐户。
“我们应该注意到,只要黑客能够实时访问数据库,更改 Neopets 密码的有效性目前还存在争议,因为他们可以简单地检查你的新密码是什么,”在Neopets Discord 服务器上的公告中写道。
“因此,鉴于这种情况,我们不能就最佳行动方案向你提供严格的建议。”
但是,如果您在其他网站上使用相同的 Neopets 密码,强烈建议您将这些网站上的密码更改为不同的密码。
Neopets 成员可以在 Neopets 帮助网站 Jelleyneo或Jelleyneo Twitter 帐户上监控主题,其他成员可以在其中跟踪 Neopets 员工的任何官方更新。
这不是 Neopets 的第一次数据泄露,之前在 2016 年在线流传的成员数据来自2012 年发生的泄露事件。
BleepingComputer 已联系 Jumpstart 关于违规行为,但目前尚未收到回复。
然而,昨晚深夜,Neopets Twitter 帐户分享了我们在下面全文转载的声明。
“Neopets 最近意识到客户数据可能已被盗。我们立即在一家领先的取证公司的协助下展开了调查。我们还与执法部门合作,加强对我们系统和用户数据的保护。
用于访问 Neopets 帐户的电子邮件地址和密码似乎已受到影响。我们强烈建议您更改 Neopets 密码。如果您在其他网站上使用相同的密码,我们建议您也更改这些密码。
随着我们的调查继续进行,我们将酌情更新您的信息。我们非常感谢您此时的耐心和理解。谢谢。” - Neopets。
其他人已经有访问权限
虽然这种违规行为似乎是新的,但 Neopets 有未经授权访问其系统的历史。
一位名叫neo_truths的 Reddit 用户告诉 BleepingComputer,在发现该网站泄露的源代码中的漏洞后,他们已经对数据库进行了“读取”访问至少一年。
neo_truths 告诉我们,他们使用此访问权限在 Reddit 上分析和分享有关游戏机制的信息。
然而,neo_truths 表示,他们利用别人的漏洞将代码注入 PHP eval()函数,将游戏修改为愚人节玩笑。
不幸的是,neo_truths 说代码很大,分布在许多服务器上,只有少数开发人员来管理它。过去,这种人员短缺导致多人多次违规,其中一个积极使用的漏洞被报告给最终修复它的开发人员。[原文译自:https://www.bleepingcomputer.com/news/security/neopets-data-breach-exposes-personal-data-of-69-million-members/]
