소문이 난 Neopets 데이터 유출이 공식적으로 확인되었습니다. 가상 애완동물 웹사이트 Neopets의 데이터 유출로 인해 소스 코드와 6,900만 명이 넘는 사용자의 개인 데이터가 포함된 데이터베이스가 도난당했습니다.
인기 있는 웹사이트 Neopets에서는 사용자가 가상 애완 동물을 만들고 돌보고 게임을 할 수 있습니다. 온라인 Metaverse 게임에 포함될 NFT는 Neopets에서 방금 출시했습니다.
화요일에 “TarTarX”라는 별칭을 사용하는 해커가 Neopets.com 웹사이트의 소스 코드와 데이터베이스를 비트코인 4개(당시 94,000달러)에 제공하기 시작했습니다.
BleepingComputer의 보고서에 따르면 TarTarX는 neopets.com 웹사이트의 데이터베이스와 약 460MB(압축) 소스 코드를 얻었다고 주장합니다.
BleepingComputer가 공유한 스크린샷에서 데이터에는 회원의 사용자 이름, 이름, 이메일 주소, 우편번호, 생년월일, 성별, 국가, 초기 등록 이메일 및 기타 사이트/게임 관련 정보가 포함되어 있음을 알 수 있습니다. 판매자는 이 데이터베이스에 6,900만 명이 넘는 사용자의 계정 정보가 포함되어 있다고 주장합니다.
해커는 Neopets의 소유주인 Jumpstart에게 웹사이트에 대한 액세스 대가로 돈을 요구하지 않았지만 대신 데이터 구매에 관심이 있는 사람들로부터 들었습니다.
그러나 Breached.co 해킹 사이트의 소유주인 pompompurin은 Neopets.com에 계정을 만들고 데이터베이스에서 새로 생성된 기록 사본을 요청하여 해커의 주장을 확인할 수 있었습니다. pompompurin은 Breached.co 포럼에 “보증합니다. 나는 웹사이트에 계정을 등록했고 그는 전체 항목을 보냈습니다.”라고 썼습니다.
이 검증은 또한 TarTarX가 데이터 판매를 시작한 후에도 neopets.com 웹사이트에 액세스할 수 있음을 보여주었습니다.
네오펫 데이터 유출 공식 확인
TNT 약어로 알려진 Neopets 팀은 비공식 Neopets Discord 채널에서 보안 사고를 인지하고 있으며 Neopets 데이터 유출이 온라인에 유포된 후 해결하기 위해 노력하고 있다고 밝혔습니다.
공격자가 여전히 서버에 액세스할 수 있는 경우 Neopets 계정 비밀번호를 변경해도 보안에 도움이 되지 않을 수 있다고 자발적인 Discord 중재자가 경고했습니다. Neopets의 Discord 서버에 다음과 같은 성명이 발표되었습니다.
“해커가 새 암호가 무엇인지 간단히 확인할 수 있기 때문에 데이터베이스에 대한 실시간 액세스 권한이 있는 한 Neopets 암호 변경의 효과는 현재 논쟁의 여지가 있습니다. 따라서 우리는 주어진 상황에서 최선의 조치에 대해 엄격하게 조언할 수 없습니다.”
Neopets 데이터 유출: 어떻게 해야 합니까?
그러나 다른 웹사이트에서 동일한 Neopets 비밀번호를 사용하는 경우 해당 웹사이트의 비밀번호를 다른 것으로 변경하는 것이 좋습니다.
Neopets의 회원은 Neopets 도움말 사이트 Jelleyneo 또는 Jelleyneo Twitter 계정을 방문하여 Neopets 팀의 공식 업데이트가 있는지 확인하기 위해 주제를 팔로우할 수 있습니다.
공식 성명 @네오펫 오늘 밝혀진 위반 사항에 대해.
취약점이 패치되었는지 여부에 대한 언급이 없습니다. 프리미엄/네오캐시 결제 수단의 안전성에 대한 확인이 없습니다(많은 질문을 받았습니다).
더 많은 소식을 들을 수 있기를 바랍니다. https://t.co/8odsvI7AgR
— Jellyneo.net (@jellyneo) 2022년 7월 21일
Neopets는 이미 2012년에 발생한 침해의 회원 정보가 2016년에 온라인으로 올라오는 등 데이터 침해를 경험했습니다.
이 Neopets 데이터 유출이 완전히 새로운 것처럼 보이지만 플랫폼에는 시스템에 부적절하게 액세스한 기록이 있습니다.
BleepingComputer에 따르면, Reddit 회원인 neo_truths는 웹사이트의 도난당한 소스 코드에서 취약점을 발견한 결과 적어도 1년 동안 데이터베이스에 “읽기” 액세스 권한이 있었습니다.
그러나 neo_truths는 다른 사람의 해킹을 사용하여 PHP eval() 함수에 코드를 삽입하여 만우절 장난으로 게임을 변경했다고 주장했습니다.
불행히도 neo_truths에 따르면 수많은 서버에 흩어져 있는 엄청난 양의 코드를 관리하는 개발자는 소수에 불과합니다. 과거에는 이러한 인력 부족으로 인해 많은 개인이 다양한 위반을 했으며, 적극적으로 사용된 익스플로잇이 개발자에게 보고된 후 이를 수정했습니다.
“Neo는 침해 사고로 가득 차 있으며 여러 사람이 수년 동안 액세스할 수 있었습니다. 유일한 차이점은 비공개로 사용하고(주로 오프사이트 판매 및 판매를 위해) 실제 데이터로 알려진 몇 가지 문제를 해결하려고 한다는 것입니다. 말하기 어렵습니다). 나 자신에게 접근 권한이 없었다면 찾을 수 없었을 것입니다.
나는 항상 내 자신의 방법을 공개하도록 선택할 수 있으므로 올바른 액세스 권한을 상실하지만 동시에 다른 사람들은 자유롭게 실행할 수 있습니다. 하지만 사용자 관점에서 누군가가 자신의 데이터에 임의로 액세스할 수 있다는 것이 매우 걱정된다는 점을 이해합니다.”라고 Reddit에 대한 댓글에서 neo_truths가 설명했습니다. 최신 Roblox 해킹을 들었습니까? 내부 문서가 도난당했습니다!