Neopets veri ihlali resmi olarak doğrulandı. Sanal evcil hayvan web sitesi Neopets’teki bir veri ihlali, kaynak kodun ve 69 milyondan fazla kullanıcının kişisel verilerini içeren bir veri tabanının çalınmasıyla sonuçlandı.
Popüler web sitesi Neopets, kullanıcıların sanal evcil hayvanlarla oyun oluşturmasına, bakım yapmasına ve oynamasına olanak tanır. Çevrimiçi bir Metaverse oyununa dahil edilecek olan NFT’ler, Neopets tarafından yakın zamanda piyasaya sürülmüştü.
Salı günü, “TarTarX” takma adı altında bir bilgisayar korsanı, Neopets.com web sitesinin kaynak kodunu ve veri tabanını dört bitcoin veya 94.000 dolar karşılığında satışa çıkardı.
BleepingComputer tarafından paylaşılan bir ekran görüntüsünde, verilerin üyelerin isimlerini, kullanıcı adlarını, e-posta adreslerini, posta kodlarını, doğum tarihlerini, cinsiyetlerini, ülkeleri, ilk kayıt e-postasını ve konum/oyunla ilgili diğer bilgileri içerdiğini görebilirsiniz. Satıcı, bu veri tabanının 69 milyondan fazla kullanıcının hesap bilgilerini içerdiğini iddia ediyor.
Hacker, Neopets’in sahibi Jumpstart’tan para talep etmedi, ancak bunun yerine verileri satın almakla ilgilenen insanlarla iletişime geçti.
Breached.co hack sitesinin sahibi pompompurin, Neopets.com’da bir hesap oluşturdu ve veri tabanından yeni oluşturulan kayıtlarının bir kopyasını talep ederek hacker’ın iddialarını doğrulayabildi. Pompompurin, Breached.co forumlarında “Şüphesiz, web sitesinde bir hesap oluşturdum ve tüm girişi gönderdi” dedi.
Bu doğrulama ayrıca TarTarX’in verileri satmaya başlamasından sonra bile neopets.com web sitesine erişimi olduğunu gösterdi.
Neopets veri ihlali nasıl gerçekleşti?
TNT kısaltmasıyla bilinen Neopets ekibi, Neopets veri ihlalinin internette konuşulmaya başlamasının ardından olayın farkında olduklarını ve çözmeye çalıştıklarını resmi Neopets Discord kanalı üzerinden bildirdi.
Gönüllü Discord moderatörleri, saldırganların sunuculara hâlâ erişimi varsa Neopets hesap şifrelerinin değiştirilmesinin güvenliği sağlamaya yardımcı olmayacağı konusunda uyardı. Neopets’in Discord sunucusunda bir açıklama yapıldı:
Neopets şifrenizi değiştirseniz de, bilgisayar korsanlarının veri tabanına erişimi olduğu sürece oluşturduğunuz yeni şifreyi görebileceği konusunun hâlâ tartışmalı olduğu unutulmamalıdır. Bu nedenle, koşullar göz önüne alındığında en iyi hareketin ne olabileceği konusunda size kesin bir tavsiyede bulunamayız.”
Neopets veri ihlali: Ne yapmanız gerekiyor?
Başka web sitelerinde de Neopets’te kullandığınız şifreyi kullanıyorsanız, şifrenizi değiştirmeniz şiddetle tavsiye edilir.
Official statement by @Neopets about the breach uncovered today.
No word on if the vulnerability has been patched or not. No confirmation on safety of Premium/Neocash payment methods (we've been asked about this a lot).
We're hoping to hear more. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) July 21, 2022
Neopets, 2012’de meydana gelen bir ihlalden kaynaklanan üye bilgilerinin 2016’da çevrimiçi hale gelmesiyle zaten bir veri ihlali yaşadı.
Neopets’in bu veri ihlali yeni gibi görünse de, platformun sisteme gizlice girilmesiyle ilgili bir geçmişi var.
neo_truths, başka birinin hack’ini kullanıp bir PHP eval() işlevine kod enjekte ederek, oyunu bir 1 Nisan şakası olarak değiştirdiklerini iddia etti.
neo_truths’a göre, çok sayıda sunucuya dağılmış olan kodları yöneten sadece birkaç geliştirici var. Geçmişte, bu personel eksikliği çeşitli ihlallere neden oldu ve etkin olarak kullanılan bir girişim, bunu daha sonra düzelten geliştiricilere bildirildi.
“Neo, ihlallerle dolu ve birden fazla kişinin yıllarca erişimi vardı (ve belki hâlâ da var). Tek fark, onu özel olarak kullanmaları (çoğunlukla saha dışı üretim ve satış için) ve bilinen bazı sorunları gerçek verilerle çözmeye çalışıyorum. Söylemesi zor). Kendime erişimim olmasaydı onları bulamazdım.
neo_Truths, Reddit’te yaptığı yorumda “Neo, ihlallerle dolu ve birkaç kişinin (belki de hâlâ) erişimi var. Tek fark, bunu özel olarak kullanmaları ve diğer kişilerin kullandığı db erişimine izin veren 2 güvenlik açığından yararlandığını bildirdiğim gerçek verilerle ilgili bilinen bazı sorunları çözmeye çalışıyorum. Kendi erişimim olmasaydı onları bulamadım.
Kendi yöntemimi açıklayabilirdim ama böylece erişimimi kaybederdim, bu doğru bir hareket olabilirdi, ancak diğerlerinin serbest çalışmasına neden olurdu. Ancak evet, kullanıcı açısından birinin verilerine erişmesinin endişe verici olmasını anlıyorum.” diye açıklıyor hakkındaki bir yorumda ifadelerini kullandı.
Roblox hack’inin milyonlarca oyuncunun kişisel verilerini tehlikeye soktuğunu biliyor muydunuz?
