Neopets是一個廣受好評的虛擬寵物網(wǎng)站，會員可以擁有、飼養(yǎng)并與他們的虛擬寵物玩游戲。近期該網(wǎng)站推出了NFTs服務(wù)，作為在線Metaverse游戲的一部分。

周二，一個被稱為 "TarTarX "的黑客開始以4個比特幣（約9.4萬美元）的價格出售Neopets.com網(wǎng)站的源代碼和數(shù)據(jù)庫。

Neopets.com的數(shù)據(jù)在黑客論壇上出售

TarTarX聲稱他竊取了neopets.com網(wǎng)站的數(shù)據(jù)庫和大約460MB（壓縮）的源代碼。該數(shù)據(jù)庫包含涉及到了6900萬名會員的賬戶信息，內(nèi)容包括會員的用戶名、姓名、電子郵件地址、郵政編碼、出生日期、性別、國家、初始注冊電子郵箱以及其他網(wǎng)站/游戲相關(guān)信息。

被盜neopets.com數(shù)據(jù)庫的模式

雖然TarTarX不會向外界透露他是如何進(jìn)入網(wǎng)站的，但他透露他并沒有向Neopets的所有者Jumpstart索要贖金，因為已經(jīng)有潛在買家向他表示了購買意愿。

關(guān)于該數(shù)據(jù)庫的真實(shí)性問題，Breached.co黑客論壇的主辦人pompompurin通過在Neopets.com上注冊一個新賬戶的方式進(jìn)行了驗證，pompompurin注冊完新賬號之后很快就收到了TarTarX發(fā)來的完整條目從而驗證了該數(shù)據(jù)庫的真實(shí)性。這一驗證同時還表明，盡管TarTarX已經(jīng)開始出售數(shù)據(jù)，但他仍然有能力可以訪問neopets.com網(wǎng)站的內(nèi)部數(shù)據(jù)。

漏洞被證實(shí)

漏洞的消息在網(wǎng)上傳播后， Neopets安全團(tuán)隊TNT在Discord上確認(rèn)，他們已經(jīng)知曉了這個漏洞并正在努力解決。

目前，TNT在Discord上警告稱，如果攻擊者仍然可以進(jìn)入他們的服務(wù)器，那么在Neopets上更改密碼可能無助于保護(hù)用戶的賬戶。用戶在其他網(wǎng)站上使用與Neopets相同的密碼，則強(qiáng)烈建議用戶盡快更改這些網(wǎng)站的密碼。

關(guān)于數(shù)據(jù)泄露的最新進(jìn)展，TNT建議Neopet會員關(guān)注Neopets幫助網(wǎng)站Jelleyneo或Jelleyneo推特賬戶上的相關(guān)話題，那里將會持續(xù)發(fā)布動態(tài)進(jìn)行進(jìn)度更新。

這并不是Neopets的第一次數(shù)據(jù)泄露，早在2016年，網(wǎng)上就已經(jīng)流傳著2012年Neopets發(fā)生的數(shù)據(jù)泄露事件的會員數(shù)據(jù)。

消息來源：https://www.bleepingcomputer.com/news/security/neopets-data-breach-exposes-personal-data-of-69-million-members/