La violation de données de Neopets expose les données personnelles de 69 millions de membres

Le site Web virtuel pour animaux de compagnie Neopets a subi une violation de données entraînant le vol du code source et d’une base de données contenant les informations personnelles de plus de 69 millions de membres.

Neopets est un site Web populaire où les membres peuvent posséder, élever et jouer à des jeux avec leurs animaux de compagnie virtuels. Neopets a récemment lancé des NFT qui seront utilisés dans le cadre d’un jeu Metaverse en ligne.

Mardi, un hacker connu sous le nom de “TarTarX” a commencé à vendre le code source et la base de données du site Web Neopets.com pour quatre bitcoins, d’une valeur d’environ 94 000 dollars aux prix d’aujourd’hui.

Dans une conversation avec BleepingComputer, TarTarX dit avoir volé la base de données et environ 460 Mo (compressés) de code source pour le site Web neopets.com.

Le vendeur affirme que cette base de données contient les informations de compte de plus de 69 millions de membres, et dans une capture d’écran partagée avec BleepingComputer, vous pouvez voir que les données incluent les noms d’utilisateur, noms, adresses e-mail, code postal, date de naissance, sexe, pays, un e-mail d’inscription initial et d’autres informations relatives au site/jeu.

Bien que le pirate informatique n’ait pas révélé comment il avait eu accès au site Web, il nous a dit qu’il n’avait pas rançonné les données à Jumpstart, les propriétaires de Neopets, mais qu’il avait suscité l’intérêt d’acheteurs potentiels.

À l’heure actuelle, BleepingComputer n’a pas été en mesure de vérifier de manière indépendante l’authenticité de la base de données. Cependant, pompompurin, le propriétaire du forum de piratage Breached.co, a vérifié les affirmations du pirate en créant un compte sur Neopets.com et en recevant son enregistrement nouvellement créé à partir de la base de données.

“Vouch, j’ai créé un compte sur le site Web et il a envoyé l’entrée complète”, a déclaré pompompurin sur les forums Breached.co.

De plus, cette vérification a montré que TarTarX continuait d’avoir accès au site neopets.com alors même qu’ils commençaient à vendre les données.

La violation est confirmée

Après que la nouvelle de la faille se soit propagée en ligne, l’équipe Neopets, désignée par l’abréviation TNT, a confirmé sur le serveur non officiel Neopets Discord qu’elle était au courant de l’incident de sécurité et travaillait à le résoudre.

Les modérateurs bénévoles de Discord avertissent que la modification des mots de passe sur Neopets peut ne pas aider à sécuriser votre compte si les attaquants ont toujours accès à leurs serveurs.

“Nous devons noter que l’efficacité du changement de votre mot de passe Neopets est actuellement discutable tant que les pirates ont un accès direct à la base de données, car ils peuvent simplement vérifier quel est votre nouveau mot de passe”, lit-on dans une annonce sur le site. Serveur Discord Neopets.

“Nous ne pouvons donc pas strictement vous conseiller sur la meilleure marche à suivre compte tenu des circonstances.”

Cependant, si vous utilisez le même mot de passe Neopets sur d’autres sites, il vous est fortement conseillé de changer votre mot de passe sur ces sites pour un autre.

Pour les dernières mises à jour sur la violation de données, les membres de Neopet doivent surveiller un sujet sur le site d’aide de Neopets Jelleyneo ou la Compte Twitter Jelleyneooù les mises à jour de statut seront publiées dès qu’elles seront disponibles.

Ce n’est pas la première violation de données pour Neopets, avec les données des membres circulant auparavant en ligne en 2016 d’une violation qui survenu en 2012.

BleepingComputer a contacté Jumpstart à propos de la violation mais n’a pas reçu de réponse pour le moment.

D’autres avaient déjà accès

Bien que cette brèche semble être nouvelle, Neopets a un historique d’accès non autorisé à ses systèmes.

Un utilisateur de Reddit nommé néo_vérités ont déclaré à BleepingComputer qu’ils avaient eu un accès “en lecture” à la base de données pendant au moins un an après avoir trouvé des exploits dans le code source divulgué du site.

neo_truths nous a dit qu’ils utilisent cet accès pour analyser et partager des informations sur les mécanismes du jeu sur Reddit.

Cependant, neo_truths a déclaré avoir utilisé l’exploit de quelqu’un d’autre pour injecter du code dans un PHP eval() fonction pour modifier le jeu comme une blague de poisson d’avril.

Malheureusement, neo_truths dit que le code est énorme et réparti sur de nombreux serveurs, avec seulement quelques développeurs pour le gérer. Ce manque de personnel a conduit à de nombreuses violations par plusieurs personnes dans le passé, avec un exploit activement utilisé signalé aux développeurs qui l’ont finalement corrigé.

“Neo regorge d’infractions et plusieurs personnes y avaient (et y ont peut-être encore) accès depuis des années. La seule différence est qu’ils l’utilisent en privé (principalement pour générer et vendre hors site) et j’essaie de résoudre certains problèmes connus avec des données réelles”, explique neo_truths dans un commentaire sur Reddit.

“J’ai déjà signalé 2 exploits permettant l’accès à la base de données que d’autres personnes avaient utilisés (l’un d’eux pendant des mois/années difficile à dire). J’aurais pu ne pas les trouver si je n’y avais pas accès moi-même.

“Je pourrais toujours choisir de révéler ma propre méthode, perdant ainsi l’accès, ce qui serait la bonne chose, mais en même temps, cela laisserait les autres fonctionner librement. Mais oui, je comprends que du point de vue de l’utilisateur, il est très inquiétant que quelqu’un puisse accéder arbitrairement à leur Les données.”

Alors que neo_truths a eu accès à la base de données Neopets pendant un certain temps, ils ont déclaré à BleepingComputer qu’ils n’étaient pas impliqués dans cette récente violation et pensent que les acteurs de la menace y ont eu accès en utilisant une faille sans rapport avec le code Neopets.

“L’exploit cette fois n’est pas lié au code néo, juste un exploit général de nombreux sites Web”, a déclaré neo_truths à BleepingComputer.

Mise à jour 20/07/22 23h07 HNE : Précision que le serveur Discord est un serveur non officiel de Neopets et que l’annonce provenait de modérateurs bénévoles. Ajout d’informations sur Neo_Truths.