Den virtuella husdjurswebbplatsen Neopets drabbades av ett dataintrång som resulterade i stöld av dess källkod och en databas som innehåller personlig information från över 69 miljoner medlemmar.
Neopets är en populär webbplats där medlemmar kan äga, uppfostra och spela spel med sina virtuella husdjur. Neopets släppte nyligen NFT:er för att användas som en del av ett Metaverse-spel online.
På tisdagen började en hacker känd som “TarTarX” sälja källkoden och databasen för Neopets.com-webbplatsen för fyra bitcoins, värda ungefär $94 000 till dagens priser.
TarTarX talar till BleepingComputer och säger att de stal databasen och cirka 460 MB (komprimerad) källkod för webbplatsen neopets.com.
Säljaren hävdar att denna databas innehåller kontoinformation för mer än 69 miljoner medlemmar, inklusive medlemsanvändarnamn, namn, e-postadresser, postnummer, födelsedatum, kön, land, första registrerings-e-post och annan webbplatsrelaterad information/spel.
Även om hackaren inte avslöjade hur de fick tillgång till webbplatsen, berättade de för oss att de inte köpte data från Jumpstart, ägarna till Neopets, men de fick intresse från potentiella köpare.
För närvarande har BleepingComputer inte kunnat självständigt verifiera databasens äkthet. Pompompurin, ägaren till hackingforumet Breached.co, bekräftade dock hackarens påståenden genom att registrera ett konto hos Neopets.com och skicka den nyskapade databasposten.
“Woah, jag registrerade ett konto på webbplatsen och det skickade hela posten”, skrev pompompurin på Breached.co-forumet.
Dessutom visade denna verifiering att TarTarX fortsatte att komma åt webbplatsen neopets.com även efter att den började sälja data.
Överträdelse bekräftad
Efter att nyheten om intrånget spreds på nätet bekräftade Neopets-teamet, som går under förkortningen TNT, på Discord att de är medvetna om säkerhetsincidenten och arbetar för att lösa den.
För tillfället varnar TNT på Discord att ändrade Neopets-lösenord kanske inte hjälper till att skydda ditt konto om angripare fortfarande har tillgång till sina servrar.
“Vi bör notera att effektiviteten av att ändra ditt Neopets-lösenord för närvarande är diskutabelt så länge hackare har tillgång till databasen live, eftersom de helt enkelt kan kontrollera vad ditt nya lösenord är”, lyder ett meddelande på Neopets Discord Server.
“Därför kan vi inte strikt ge dig råd om det bästa tillvägagångssättet under omständigheterna.”
Men om du använder samma Neopets-lösenord på andra webbplatser rekommenderar vi starkt att du ändrar ditt lösenord på dessa webbplatser till ett annat.
För de senaste uppdateringarna om dataintrånget rekommenderar TNT att Neopet-medlemmar övervakar ett ämne på Neopets Jelleyneos hjälpsajt eller Jelleyneos Twitter-konto där statusuppdateringar kommer att publiceras.
Detta är inte det första dataintrånget för Neopets, som involverar medlemsdata som tidigare distribuerats online 2016 från ett brott som inträffade 2012.
BleepingComputer har också kontaktat Jumpstart om intrånget, men har inte hört av sig i nuläget.
https://www.bleepingcomputer.com/news/security/neopets-data-breach-exposes-personal-data-of-69-million-members/
