Wikipedia define a Neopets como un ‘sitio web de mascotas virtuales’, y lo cierto es que los paralelismos con los ‘tamagotchi’ son claros: no en vano, Neopets lleva online nada menos que desde 1999, tan sólo unos meses después de que explotara en Occidente la fiebre por los famosos dispositivos japoneses.

Pero Neopets no es noticia por eso, ni por su reciente apuesta por la tecnología NFT… sino porque los responsables del sitio web —y por extensión, todos sus usuarios— están en problemas, tras hacerse público que la plataforma ha sufrido una filtración de datos que ha desembocado en el robo del código fuente y de una base de datos que recopila información personal de más de 69 millones de usuarios.

De hecho, el pack con los 460 MB de código fuente y la base de datos está a la venta por 4 bitcoins (94.000 €, aproximadamente) en un foro de la Dark Web, tras haber sido publicado el pasado martes por un ciberdelincuente conocido como TarTarX.

Bleeping Computer, la primera publicación que se ha hecho eco de esta filtración, afirma haber tenido acceso a una captura de pantalla compartida por el citado TarTarX, en la que puede comprobarse que la base de datos incluye la siguiente información:

  • Nombre real y ‘nick’ del usuario.
  • Dirección (inicial y actual) de correo electrónico.
  • Fecha de nacimiento.
  • Código postal.
  • Sexo y nacionalidad.
  • Fecha del último inicio de sesión.
  • Contraseña.
Cómo saber si tu número de teléfono o correo electrónico ha sido filtrado en internet

¿En Neopets todos los días son jornadas de puertas abiertas?

TarTarX no ha revelado el modo en que ha logrado acceder a dichos datos, pero sí ha dejado claro que, incluso después de sacarlos a la venta, seguía teniendo acceso a los datos actualizados. Según desvela Bleeping Computer, el propietario del foro de piratería Breached.co quiso verificar las afirmaciones del hacker registrando él mismo una cuenta en Neopets.com, tras lo cual TarTarX le remitió los datos con que se había registrado.

Hace sólo unas horas, la cuenta oficial de Neopets en Twitter confirmaba que los datos de sus clientes «pueden haber sido robados», por lo que habían recurrido a «una firma forense líder» y a las fuerzas del orden para que iniciaran la investigación de lo ocurrido.

«Parece que las direcciones de correo electrónico y las contraseñas utilizadas para acceder a las cuentas de Neopets pueden haberse visto afectadas. Te recomendamos encarecidamente que cambies su contraseña de Neopets. Si usas la misma contraseña en otros sitios web, te recomendamos que también cambies esas contraseñas».

Sin embargo, mientras no se garantice que TarTarX o cualquier asociado suyo carece ya de acceso a los servidores de Neopets, el consejo de cambiar la contraseña en Neopets resulta contraproducente, pues la nueva se terminaría filtrando igualmente. Sin embargo, la sugerencia de cambiarla en otros sitios webs resulta de lo más pertinente y urgente.

No sirve de nada andar cambiando la contraseña de un sitio web si no tienes claro que el hacker no verá también la nueva

Bleeping Computer también cita a un usuario de Reddit llamado neo_truths, que afirma tener «acceso de lectura» a los datos del sitio web desde hace ya un año —y conocer a gente que lo ha tenido durante más tiempo—, así como haber aprovechado el exploit de un tercero para inyectar código en una función eval() de PHP con el objetivo de modificar el juego a modo de broma del Día de los Inocentes.

El citado usuario atribuye estas vulnerabilidades al hecho de que «el código es enorme y se extiende por muchos servidores, y sólo hay unos pocos desarrolladores para administrarlo«. Neo_truths, sin embargo, afirma que el método que usa él para acceder «es un exploit general que tienen muchos sitios web» y que no cree que haya sido el usado para desencadenar la filtración.

Imagen | Basada en originales de Neopets y de Teamp0ison89

Fuente info
Autor: