Неизвестные злоумышленники взломали сайт Neopets, основанный в далеком 1999 году и предлагающий возможность завести виртуальных питомцев, а также взаимодействовать, общаться и торговать с другими пользователями, играть в мини-игры и так далее.
Представители Neopets пишут, что в настоящее время проводится расследование инцидента, к которому уже привлечены правоохранительные органы и сторонние киберкриминалисты. Уже известно, что в результате этой атаки «утекли» данные 69 миллионов пользователей Neopets. К тому же расследование показало, что злоумышленники имели доступ к системам Neopets около полутора лет: 3 января 2021 года по 19 июля 2022 года.
Интересно, что компания узнала о взломе лишь после того, как хакеры выставили на продажу украденную БД, оценив ее в четыре биткоина. Злоумышленники утверждали, что база содержит 460 Мб исходного кода, а также конфиденциальные личные данные 69 млн пользователей (что теперь подтвердили в компании).
«Мы определили, что [похищенная] информация о бывших и нынешних игроках Neopets может включать данные, предоставленные при регистрации в Neopets, в том числе имя, адрес электронной почты, имя пользователя, дату рождения, пол, IP-адрес, PIN-код Neopets, хешированный пароль, а также данные о питомце игрока, игровом процессе и прочие сведения, предоставленная Neopets. Для пользователей, которые играли до 2015 года, информация также могла включать нехешированные пароли, которые неактивны», — гласит официальное заявление.
Представители Neopets уверяют, что уже предприняли ряд мер для повышения безопасности, чтобы подобные инциденты не повторялись в будущем. Также компания заявляет, что улучшила системы мониторинга, чтобы раньше выявлять возможные угрозы, и усилила механизмы аутентификации для лучшей защиты доступа к учетной записи.
Пароли пользователей были сброшены, и теперь специалисты Neopets работают над внедрением многофакторной аутентификации в качестве дополнительного уровня защиты.