Vi phạm Neopets làm lộ dữ liệu cá nhân của 69 triệu thành viên

Trang web nuôi thú ảo Neopets đã bị xâm phạm dẫn đến việc lộ mã nguồn và cơ sở dữ liệu chứa thông tin cá nhân của hơn 69 triệu thành viên. 

Neopets là trang web cho phép người dùng có thể sở hữu, nuôi và chơi trò chơi với vật nuôi ảo của họ.

Thứ Ba tuần trước, một tin tặc được gọi là 'TarTarX' đã rao bán mã nguồn và cơ sở dữ liệu của trang Neopets.com với giá 4 bitcoin (khoảng 94.000 đô la theo giá hiện nay).

TarTarX tuyên bố rằng cơ sở dữ liệu này chứa thông tin tài khoản của hơn 69 triệu thành viên, bao gồm tên người dùng, tên, địa chỉ email, mã zip, ngày sinh, giới tính, quốc gia, email đăng ký ban đầu và thông tin liên quan đến trang web/trò chơi khác.

Hắn cho biết tuy không nhận được tiền chuộc từ Jumpstart-chủ sở hữu của Neopets nhưng có rất nhiều người quan tâm đến dữ liệu này.

Tại thời điểm hiện tại, BleepingComputer chưa thể xác minh tính xác thực của cơ sở dữ liệu. Tuy nhiên, pompompurin, chủ sở hữu của diễn đàn hack Breached.co đã xác minh các tuyên bố của hacker bằng cách đăng ký một tài khoản trên Neopets.com: "Tôi đã đăng ký một tài khoản trên trang web và tin tặc đã gửi lại toàn bộ thông tin đã nhập".

Điều này cho thấy TarTarX vẫn có quyền truy cập vào trang neopets.com.

Xác nhận vi phạm

Sau khi tin tức về vụ vi phạm được lan truyền trên mạng, Neopets đã xác nhận về sự cố bảo mật và đang làm việc để giải quyết nó.

“Chúng tôi đã ngay lập tức tiến hành một cuộc điều tra. Chúng tôi cũng đã báo cho cơ quan thực thi pháp luật và đang tăng cường bảo vệ cho hệ thống và dữ liệu người dùng.

Có vẻ như địa chỉ email và mật khẩu đăng nhập vào tài khoản Neopets có thể đã bị ảnh hưởng. Chúng tôi khuyên bạn nên thay đổi mật khẩu Neopets của mình. Nếu bạn sử dụng cùng một mật khẩu trên các trang web khác, chúng tôi khuyên bạn cũng nên thay đổi các mật khẩu đó.”

Những người điều hành Volunteer Discord lưu ý rằng việc thay đổi mật khẩu trên Neopets có thể không giúp bảo mật tài khoản của bạn nếu những kẻ tấn công vẫn có quyền truy cập trực tiếp vào cơ sở dữ liệu.

Người dùng Neopets có thể theo dõi một chủ đề trên the Neopets Help Site Jelleyneo hoặc tài khoản Twitter Jelleyneo để cập nhật thông tin chính thức từ nhân viên Neopets.

Đây không phải là lần đầu tiên Neopets bị vi phạm dữ liệu, dữ liệu thành viên trước đó đã bị lộ trực tuyến vào năm 2016 do một vụ vi phạm xảy ra vào năm 2012.

Phát hiện truy cập trái phép khác

Một người dùng Reddit có tên neo_truths cho biết đã có quyền truy cập "đọc" vào cơ sở dữ liệu trong ít nhất một năm sau khi tìm thấy các khai thác trong mã nguồn bị rò rỉ của trang web và “chỉ sử dụng quyền truy cập này để phân tích và chia sẻ thông tin về cơ chế trò chơi trên Reddit”.

“Mã nguồn rất lớn và phân bố trên nhiều máy chủ trong khi chỉ có một số nhà phát triển quản lý nó. Việc thiếu người quản lý đã dẫn đến nhiều vụ vi phạm trong quá khứ”.

Neo giải thích "nhiều người khác đã có [có thể vẫn có] quyền truy cập trong nhiều năm. Sự khác biệt duy nhất là họ sử dụng nó một cách bí mật ".

"Tôi đã báo cáo 2 lần khai thác cho phép truy cập DB mà người khác đã sử dụng. Tôi không thể tìm thấy chúng nếu bản thân không có quyền truy cập”.

neo_truths khẳng định không liên quan đến vụ vi phạm lần này và cho rằng "việc khai thác lần này không liên quan đến mã nguồn neo, chỉ là một khai thác chung mà nhiều trang web bị ảnh hưởng".

Nguồn: bleepingcomputer.com.