【童年回憶】Neopets爆數據洩露事故 洩6900萬會員個人資料
1999 年開網的虛擬寵物網站 Neopets 尼奧寵物,是不少 90 後的童年回憶,每天需要餵飼,以免虛擬寵物陷入「快要餓死了」的狀態。近日 Neopets 爆出數據洩露事故,導致 source code 和儲有超過 6,900 萬會員的個人資料的數據庫被盜。
Neopets 多年來深受小朋友歡迎,會員可以在該網站上擁有、養育自己的虛擬寵物,並和他們一起玩遊戲。最近 Neopets 更跟上大勢推出 NFT,作線上 Metaverse 遊戲的一部分。
早前一個名為「TarTarX」的黑客,以 4 個比特幣的價格出售 Neopets.com 網站的 source code 和數據庫。BleepingComputer 與 TarTarX 對話,對方表示竊取了 neopets.com 網站的數據庫和壓縮後大約 460MB 的 source code,他聲稱該數據庫包含超過 6,900 萬會員的帳戶信息,包括會員的用戶名、姓名、電子郵件地址、郵政編碼、出生日期、性別、國家、註冊電郵地址,以及其他與網站和遊戲相關的資料。
TarTarX 並未透露他們是如何取得該網站的數據,但向 BleepingComputer 透露,他們沒有要求 Neopets 的持有者 Jumpstart 支付贖金,但目前已有潛在買家表示有興趣。
BleepingComputer 就指,無法獨立驗證數據庫的真實性。然而,Breached.co 黑客論壇的所有者 pompompurin 透過在 Neopets.com 上註冊一個帳戶,並從數據庫中發送他們新創建的記錄來驗證黑客的說法,並指自己在網站上註冊一個帳戶,對方發送了完整的條目。此外,該驗證證明了即使 TarTarX 開始賣出數據,他們仍然可以造訪 neopets.com 網站。
洩露的消息在網上傳開後,TNT 指 Neopets 團隊已在 Discord 上確認他們知悉事故,並正在努力解決。目前,TNT 在 Discord 上警告指,如果攻擊者仍然可以存取他們的伺服器,即使更改 Neopets 上的密碼,或仍無助於保護帳戶。 Neopets Discord 伺服器上的公告指出,「只要黑客能夠實時存取數據庫,更改 Neopets 密碼的有效性,目前仍存在爭議,因為他們可以簡單地查出新密碼是什麼,有鑑於此,我們不能提供最佳建議。」不過他們亦指出,如果在其他網站上使用與在 Neopets 相同的密碼,就強烈建議將這些網站上的密碼更改。
有關數據洩露的最新資訊,TNT 建議 Neopet 會員在 Neopets 關注網站中的主題「Neopets Help Site Jelleyneo」或者是 「 Jelleyneo」的 Twitter 帳戶,將會透過這些途徑發布最新資訊。
這次事故並非 Neopets 第一次遭遇數據洩露,早於 2016 年在網上流傳的會員數據,而事件則是源於在 2012 年發生的洩露事件。BleepingComputer 就事件聯繫 Jumpstart,但未收到回覆。
