Ο ιστότοπος για τα εικονικά κατοικίδια Neopets υπέστη παραβίαση δεδομένων που οδήγησε στην κλοπή του source code και μιας βάσης δεδομένων που περιέχει τα προσωπικά στοιχεία περισσότερων από 69 εκατομμυρίων μελών.
Το Neopets είναι ένας δημοφιλής ιστότοπος όπου τα μέλη μπορούν να έχουν, να μεγαλώνουν και να παίζουν παιχνίδια με τα εικονικά κατοικίδιά τους. Το Neopets κυκλοφόρησε πρόσφατα NFT που θα χρησιμοποιηθούν ως μέρος ενός διαδικτυακού παιχνιδιού Metaverse.
Την Τρίτη, ένας χάκερ γνωστός ως «TarTarX» άρχισε να πουλά το source code και τη βάση δεδομένων για τον ιστότοπο Neopets.com για τέσσερα bitcoin, αξίας περίπου 94.000 $ σε σημερινές τιμές.
Σε μια συνομιλία με το BleepingComputer, ο TarTarX λέει ότι έκλεψαν τη βάση δεδομένων και περίπου 460MB source code για τον ιστότοπο neopets.com.
Ο πωλητής ισχυρίζεται ότι αυτή η βάση δεδομένων περιέχει τις πληροφορίες λογαριασμού περισσότερων από 69 εκατομμυρίων μελών και σε ένα στιγμιότυπο οθόνης που μοιράστηκε με το BleepingComputer, μπορείτε να δείτε τα δεδομένα που περιλαμβάνουν ονόματα χρήστη, ονόματα, διευθύνσεις email, ταχυδρομικό κώδικα, ημερομηνία γέννησης, φύλο, χώρα, ένα αρχικό email εγγραφής και άλλες πληροφορίες που σχετίζονται με τον ιστότοπο/το παιχνίδι.
Ενώ ο χάκερ δεν αποκάλυψε πώς απέκτησαν πρόσβαση στον ιστότοπο, μας είπαν ότι δεν ζήτησαν λύτρα για τα δεδομένα από το Jumpstart, τους ιδιοκτήτες του Neopets, αλλά έλαβαν ενδιαφέρον από πιθανούς αγοραστές.
Προς το παρόν, το BleepingComputer δεν ήταν σε θέση να επαληθεύσει ανεξάρτητα την αυθεντικότητα της βάσης δεδομένων. Ωστόσο, ο Pompompurin, ο ιδιοκτήτης του φόρουμ Breached.co, επαλήθευσε τους ισχυρισμούς του χάκερ καταχωρώντας έναν λογαριασμό στο Neopets.com και ο TarTarX έστειλε το νέο αρχείο που δημιουργήθηκε από τη βάση δεδομένων.
“Έκανα έναν λογαριασμό στον ιστότοπο και μου έστειλε την πλήρη καταχώριση”, δημοσίευσε ο Pompompurin στα φόρουμ του Breached.co.
Επιπλέον, αυτή η επαλήθευση έδειξε ότι ο TarTarX συνέχισε να έχει πρόσβαση στον ιστότοπο neopets.com ακόμη και όταν άρχισαν να πωλούν τα δεδομένα.
Μετά τη διάδοση της είδησης της παραβίασης στο διαδίκτυο, η ομάδα Neopets, που ορίζεται από τη συντομογραφία TNT, επιβεβαίωσε στο ανεπίσημο Neopets Discord server ότι γνωρίζει το περιστατικό ασφαλείας και εργάζεται για την επίλυσή του.
Οι εθελοντές επόπτες του Discord προειδοποιούν ότι η αλλαγή των κωδικών πρόσβασης στο Neopets ενδέχεται να μην βοηθήσει στην ασφάλεια του λογαριασμού σας εάν οι εισβολείς εξακολουθούν να έχουν πρόσβαση στους servers τους.
«Θα πρέπει να σημειώσουμε ότι η αποτελεσματικότητα της αλλαγής του κωδικού πρόσβασής σας στο Neopets είναι επί του παρόντος συζητήσιμη, εφόσον οι χάκερ έχουν ζωντανή πρόσβαση στη βάση δεδομένων, καθώς μπορούν απλώς να ελέγξουν ποιος είναι ο νέος κωδικός πρόσβασής σας», αναφέρεται σε ανακοίνωση στον server Neopets Discord.
«Δεν μπορούμε επομένως να σας συμβουλεύσουμε αυστηρά για την καλύτερη πορεία δράσης δεδομένων των περιστάσεων».
Ωστόσο, εάν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης Neopets σε άλλους ιστότοπους, σας συνιστούμε να αλλάξετε τον κωδικό πρόσβασής σας σε αυτούς τους ιστότοπους σε κάτι άλλο.
Τα μέλη του Neopets μπορούν να παρακολουθούν ένα θέμα στον ιστότοπο Jelleyneo που προσφέρει βοήθεια για το Neopets ή στο λογαριασμό Jelleyneo στο Twitter, όπου άλλα μέλη παρακολουθούν τυχόν επίσημες ενημερώσεις από το προσωπικό του Neopets.
Αυτή δεν είναι η πρώτη παραβίαση δεδομένων για το Neopets, με δεδομένα μελών να κυκλοφορούν στο διαδίκτυο το 2016 από παραβίαση που σημειώθηκε το 2012.
Αν και αυτή η παραβίαση φαίνεται να είναι νέα, το Neopets έχει ιστορικό μη εξουσιοδοτημένης πρόσβασης στα συστήματά της.
Δείτε επίσης: Google αποτελέσματα αναζήτησης: Διαφήμιση του YouTube οδηγεί σε απάτη
Ένας χρήστης του Reddit με το όνομα neo_truths είπε στο BleepingComputer ότι είχαν πρόσβαση “ανάγνωσης” στη βάση δεδομένων για τουλάχιστον ένα χρόνο μετά την εύρεση εκμεταλλεύσεων στο source code του ιστότοπου που διέρρευσε.
O neo_truths είπε ότι χρησιμοποιούν αυτήν την πρόσβαση για να αναλύσουν και να μοιραστούν πληροφορίες σχετικά με τους μηχανισμούς του παιχνιδιού στο Reddit.
Ωστόσο, ο neo_truths ανέφερε ότι χρησιμοποίησαν το exploit κάποιου άλλου για να εισάγουν κώδικα σε μια συνάρτηση PHP eval() για να τροποποιήσουν το Neopets ως πρωταπριλιάτικο αστείο.
Δυστυχώς, ο neo_truths λέει ότι ο κώδικας είναι τεράστιος και απλώνεται σε πολλούς servers, με λίγους μόνο προγραμματιστές να τον διαχειρίζονται. Αυτή η έλλειψη προσωπικού οδήγησε σε πολυάριθμες παραβιάσεις από πολλά άτομα στο παρελθόν, με ένα ενεργά χρησιμοποιημένο exploit να αναφέρεται στους προγραμματιστές που τελικά το διόρθωσαν.
«Το Neopets είναι γεμάτο παραβιάσεις και πολλά άτομα είχαν (και ίσως εξακολουθούν να έχουν) πρόσβαση για χρόνια. Η μόνη διαφορά είναι ότι το χρησιμοποιούν ιδιωτικά (κυρίως για παραγωγή και πώληση εκτός τοποθεσίας) και προσπαθώ να αντιμετωπίσω ορισμένα γνωστά ζητήματα με πραγματικά δεδομένα», εξηγεί o neo_truths σε σχόλιο στο Reddit.
Δείτε επίσης: Αλβανία: Η κυβέρνηση δέχτηκε “μαζική κυβερνοεπίθεση”
«Έχω ήδη αναφέρει 2 εκμεταλλεύσεις που επέτρεψαν πρόσβαση σε database που είχαν χρησιμοποιήσει άλλοι άνθρωποι (μια από αυτές για μήνες/χρόνια). Θα μπορούσα να μην τα είχα βρει αν δεν είχα πρόσβαση ο ίδιος.»
«Μπορούσα πάντα να επιλέξω να αποκαλύψω τη δική μου μέθοδο χάνοντας έτσι την πρόσβαση που θα ήταν το σωστό, αλλά ταυτόχρονα θα άφηνε τους άλλους να έχουν ελεύθερα τα δεδομένα.»
Ενώ ο neo_truths είχε πρόσβαση στη βάση δεδομένων Neopets εδώ και αρκετό καιρό, είπε στο BleepingComputer ότι δεν συμμετείχε σε αυτήν την πρόσφατη παραβίαση και πιστεύει ότι οι φορείς της απειλής απέκτησαν πρόσβαση χρησιμοποιώντας ένα ελάττωμα που δεν σχετίζεται με τον κώδικα Neopets.
«Η ευπάθεια αυτή τη φορά δεν σχετίζεται με τον κώδικα του neo, είναι απλώς μια γενική ευπάθεια που έχουν πολλοί ιστότοποι», είπε ο neo_truths στο BleepingComputer.
Πηγή: bleepingcomputer.com
