虚拟宠物网站 Neopets 遭遇数据泄露,导致源代码和包含超过 6900 万会员个人信息的数据库被盗。
虚拟宠物网站Neopets最近推出自家NFT完善他们的元宇宙架构,没成想吸引了黑客注意力,成为炙手可热的目标,不久便被攻破出现数据泄露。
周二,黑客“TarTarX”在黑客市场以四个比特币的售价出售Neopets网站源代码和数据库,当前价值近十万美元。有安全研究员尝试接触黑客,获知他们窃取了网站460MB的源代码压缩包及6900万用户的账号信息,包括姓名、邮箱、邮政编码、生日、性别、国家等。不过黑客没有详细说明是如何攻破网站的,只说并没有让Neopets交赎金的计划,且已找到对此心仪的买家。目前还无法确认数据的真实性,但黑客市场的管理员出来站台表示进行了验证无误。
随后,Neopets团队在非官方渠道确认了此攻击,表示确实是安全事件,也在抓紧调查修复,黑客的访问可能仍未被阻断。有匿名人士趁机爆料,他们的系统早已千疮百孔,泄露数据无数,这次只是第一次被摆上台面,真实性未知。
卖家称该数据库包含超过 6900 万会员的账户信息,在与 BleepingComputer 分享的截图中,您可以看到数据包括会员的用户名、姓名、电子邮件地址、邮政编码、出生日期、性别、国家、初始注册电子邮件和其他网站/游戏相关信息。
虽然黑客不会透露他们是如何访问该网站的,但他们告诉我们,他们没有将数据赎回给 Neopets 的所有者 Jumpstart,但已收到潜在买家的兴趣。
目前,BleepingComputer 还无法独立验证数据库的真实性。然而,Breached.co 黑客论坛的所有者 pompompurin 通过在 Neopets.com 上注册一个帐户并从数据库中发送他们新创建的记录来验证黑客的说法。
“保证,我在网站上注册了一个帐户,他发送了完整的条目,” pompompurin 在 Breached.co 论坛上发布。
此外,该验证表明,即使 TarTarX 开始销售数据,他们仍然可以访问 neopets.com 网站。
违规消息在网上传播后,由 TNT 缩写指定的 Neopets 团队已在非官方的 Neopets Discord 服务器上确认,他们知道安全事件并正在努力解决它。
志愿者 Discord 版主警告说,如果攻击者仍然可以访问他们的服务器,更改 Neopets 上的密码可能无助于保护您的帐户。
“我们应该注意到,只要黑客能够实时访问数据库,更改 Neopets 密码的有效性目前还存在争议,因为他们可以简单地检查你的新密码是什么,”在Neopets Discord 服务器上的公告中写道。
“因此,鉴于这种情况,我们不能就最佳行动方案向你提供严格的建议。”
但是,如果您在其他网站上使用相同的 Neopets 密码,强烈建议您将这些网站上的密码更改为不同的密码。
Neopets 成员可以在 Neopets 帮助网站 Jelleyneo或Jelleyneo Twitter 帐户上监控主题,其他成员可以在其中跟踪 Neopets 员工的任何官方更新。
这不是 Neopets 的第一次数据泄露,之前在 2016 年在线流传的成员数据来自2012 年发生的泄露事件。
BleepingComputer 已联系 Jumpstart 关于违规行为,但目前尚未收到回复。
然而,昨晚深夜,Neopets Twitter 帐户分享了我们在下面全文转载的声明。
“Neopets 最近意识到客户数据可能已被盗。我们立即在一家领先的取证公司的协助下展开了调查。我们还与执法部门合作,加强对我们系统和用户数据的保护。
用于访问 Neopets 帐户的电子邮件地址和密码似乎已受到影响。我们强烈建议您更改 Neopets 密码。如果您在其他网站上使用相同的密码,我们建议您也更改这些密码。
随着我们的调查继续进行,我们将酌情更新您的信息。我们非常感谢您此时的耐心和理解。谢谢。” - Neopets。
虽然这种违规行为似乎是新的,但 Neopets 有未经授权访问其系统的历史。
一位名叫neo_truths的 Reddit 用户告诉 BleepingComputer,在发现该网站泄露的源代码中的漏洞后,他们已经对数据库进行了“读取”访问至少一年。
neo_truths 告诉我们,他们使用此访问权限在 Reddit 上分析和分享有关游戏机制的信息。
然而,neo_truths 表示,他们利用别人的漏洞将代码注入 PHP eval()函数,将游戏修改为愚人节玩笑。
不幸的是,neo_truths 说代码很大,分布在许多服务器上,只有少数开发人员来管理它。过去,这种人员短缺导致多人多次违规,其中一个积极使用的漏洞被报告给最终修复它的开发人员。[原文译自:https://www.bleepingcomputer.com/news/security/neopets-data-breach-exposes-personal-data-of-69-million-members/]
【编辑推荐】安企神软件系统信息安全管理系统–-企业文件保密专家!防拷贝复制、防外发泄密!实现企业内部文件只允许在内部环境流转使用,未经许可,私自将公司文件带离公司网络环境,将无法打开使用,显示为乱码。
对于外发给第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...