噂のNeopetsのデータ侵害は公式に確認されています。 バーチャルペットのウェブサイトNeopetsでのデータ侵害により、6,900万人を超えるユーザーの個人データを含むソースコードとデータベースが盗まれました。
人気のあるウェブサイトNeopetsを使用すると、ユーザーは仮想ペットを使用してゲームを作成、世話、プレイできます。 オンラインのメタバースゲームに含まれるNFTは、Neopetsからリリースされたばかりです。
火曜日に、別名「TarTarX」で使用しているハッカーが、Neopets.com Webサイトのソースコードとデータベースを4ビットコイン(当時は約94,000ドル)で提供し始めました。
BleepingComputerのレポートによると、TarTarXは、neopets.com Webサイトのデータベースと約460MB(圧縮)のソースコードを入手したと主張しています。
BleepingComputerが共有するスクリーンショットでは、データにメンバーのユーザー名、名前、電子メールアドレス、郵便番号、生年月日、性別、国、初期登録電子メール、およびその他のサイト/ゲーム関連情報が含まれていることがわかります。 売り手は、このデータベースには6,900万人を超えるユーザーのアカウント情報が含まれていると主張しています。
ハッカーは、ウェブサイトへのアクセスと引き換えに、Neopetsの所有者であるJumpstartにお金を要求しませんでしたが、代わりにデータの購入に関心のある人々から聞いていました。
ただし、Breached.coハッキングサイトの所有者であるpompompurinは、Neopets.comにアカウントを作成し、データベースから新しく作成したレコードのコピーを要求することで、ハッカーの主張を確認することができました。 「保証、私はウェブサイトにアカウントを登録し、彼は完全なエントリを送信しました」と、pompompurinはBreached.coフォーラムに書いています。
この検証は、TarTarXがデータの販売を開始した後もneopets.comWebサイトにアクセスできることも示しました。
Neopetsのデータ侵害が正式に確認されました
TNTの頭字語で知られるNeopetsチームは、非公式のNeopets Discordチャネルで、セキュリティインシデントを認識しており、Neopetsのデータ侵害がオンラインで広まった後、それを解決しようとしていると述べました。
攻撃者がまだサーバーにアクセスできる場合、Neopetsアカウントのパスワードを変更しても、パスワードを保護できない可能性があると、ボランティアのDiscordモデレーターが警告しています。 NeopetsのDiscordサーバーで次のような声明が出されました。
「Neopetsのパスワードを変更することの有効性は、ハッカーがデータベースにライブアクセスできる限り、現在議論の余地があることに注意する必要があります。ハッカーは新しいパスワードを簡単に確認できるからです。 したがって、状況に応じて最善の行動方針について厳密にアドバイスすることはできません。」
Neopetsのデータ侵害:あなたは何をすべきですか?
ただし、他のWebサイトで同じNeopetsパスワードを使用する場合は、そのようなWebサイトのパスワードを別のパスワードに変更することを強くお勧めします。
Neopetsのメンバーは、トピックをフォローして、NeopetsヘルプサイトのJelleyneoまたはJelleyneoのTwitterアカウントにアクセスして、Neopetsチームからの公式の更新があるかどうかを確認できます。
による公式声明 @ネオペット 今日発見された違反について。
脆弱性にパッチが適用されているかどうかについては何も言われていません。 プレミアム/ネオキャッシュの支払い方法の安全性についての確認はありません(これについては多くの質問があります)。
もっと聞いてみたいです。 https://t.co/8odsvI7AgR
— Jellyneo.net(@jellyneo) 2022年7月21日
Neopetsはすでにデータ侵害を経験しており、2012年に発生した侵害からのメンバー情報が、2016年にオンラインになりました。
このNeopetsのデータ侵害はまったく新しいように思われるという事実にもかかわらず、プラットフォームにはシステムが不適切にアクセスされたという歴史があります。
BleepingComputerによると、Redditのメンバーであるneo_truthsは、Webサイトの盗まれたソースコードの脆弱性を発見した結果、少なくとも1年間データベースに「読み取り」アクセスできました。
ただし、neo_truthsは、他の誰かのハックを使用してPHP eval()関数にコードを挿入することにより、エイプリルフールのジョークとしてゲームを変更したと主張しました。
残念ながら、neo_truthsによると、多数のサーバーに分散している膨大な量のコードを管理する開発者はごくわずかです。 過去には、このスタッフ不足により、多数の個人によるさまざまな侵害が発生し、積極的に使用された1つのエクスプロイトが開発者に報告され、その後修正されました。
「ネオは侵害に満ちており、何年にもわたって複数の人々がアクセスできました(そしておそらくまだアクセスできました)。 唯一の違いは、彼らがそれを個人的に使用することです(主にオフサイトでの生成と販売のために)そして私は他の人が使用したdbアクセスを許可した2つのエクスプロイトをすでに報告した実際のデータでいくつかの既知の問題に対処しようとしています(そのうちの1つは数ヶ月/年わかりにくい)。 自分でアクセスできなければ、それらを見つけることができなかったでしょう。
私はいつでも自分の方法を明らかにすることを選択できたので、アクセスが失われました。これは正しいことですが、同時に他の人が自由に走ることができます。 しかし、はい、私はユーザーの観点から、誰かが自分のデータに任意にアクセスできることを非常に心配していることを理解しています」とRedditへのコメントでneo_truthsは説明しました。 最新のRobloxハックを聞きましたか? 内部文書が盗まれました!
