Les données personnelles de 69 millions d’utilisateurs de Neopets sont désormais en vente après une violation de données
Neopets, un ancien site Web qui permet aux utilisateurs de garder des animaux de compagnie virtuels et de prendre soin d'eux, vient de subir une importante violation de données. Outre les données personnelles de plus de 69 millions d'utilisateurs, le pirate a pu obtenir le code source du site.
Ce n'est pas la première fois que Neopets fait face à une fuite massive, mais cette fois-ci, les données des utilisateurs sont actuellement vendues pour la cryptographie – et la fuite comprend plus que des noms d'utilisateur et des mots de passe.
Si vous avez un certain âge, vous avez peut-être déjà entendu parler de Neopets. Le site Web, lancé à la fin de 1999, était autrefois beaucoup plus populaire qu'il ne l'est maintenant. Conçue principalement pour les enfants, la plate-forme permet aux utilisateurs de collectionner des animaux de compagnie virtuels, de modifier leurs couleurs et leurs tenues, de les nourrir et de jouer à divers mini-jeux, ainsi qu'à des événements complets sur place. Selon Google Trends , Neopets a atteint un sommet de popularité vers 2005, mais depuis lors, les chiffres ont diminué et sont à un niveau bas depuis 2010.
Même si Neopets n'est désormais principalement joué que par des adultes nostalgiques et que le site Web lui-même souffre de nombreux problèmes, il a tout de même accumulé une large base d'utilisateurs au fil des ans. Que les 69 millions de comptes qui ont été divulgués aujourd'hui aient été utilisés activement ou non n'est pas pertinent – les données personnelles leur sont toujours liées, et maintenant tout est entre les mains d'un pirate qui s'est révélé comme TarTarX sur les forums de piratage Breached.
Dans un post sur les forums (partagé par BleepingComputer ), le pirate répertorie toutes les données dont il est en possession, y compris les e-mails, les noms d'utilisateur et les mots de passe, mais également des données plus sensibles, telles que le pays, l'état, le code postal, le sexe, et date de naissance. Le pirate a également déclaré à BleepingComputer qu'il disposait d'environ 460 Mo de code source de site Web compressé.
L'authenticité des données n'a pas encore été vérifiée, mais Neopets lui-même a reconnu qu'une violation de données avait eu lieu et a conseillé à ses utilisateurs de changer leurs mots de passe. Malheureusement, si l'on en croit les paroles de TarTarX, le simple fait de changer votre mot de passe ne fera peut-être pas beaucoup de différence. Pourquoi? Parce que le pirate semble également avoir accès au site et à la base de données en direct de neopets.com. Cela a été vérifié par le propriétaire du forum Breached.co, qui s'est inscrit sur Neopets pour tester la validité des affirmations de TarTarX. Le pirate a reçu toutes les données de l'enregistrement, ce qui signifie qu'il sera également probablement au courant de tout changement potentiel de mot de passe.
Si vous pensez avoir un ancien compte Neopets, il y a de fortes chances que vos données aient été affectées par cette violation, y compris votre adresse e-mail et votre mot de passe. Même si changer le mot de passe sur Neopets ne change pas grand-chose pour le moment, il est toujours fortement conseillé de changer tout mot de passe qui pourrait être identique ou similaire à celui que vous avez utilisé pour votre compte Neopets. Cet incident est un autre rappel qu'il est important de conserver des mots de passe différents pour chaque site Web sur lequel vous vous inscrivez. Les fuites se produisent très fréquemment – tout récemment, les dossiers de jusqu'à 1 milliard de personnes ont été volés .
BleepingComputer rapporte que certains utilisateurs ont déjà eu un accès non autorisé à la base de données Neopets, mais ne l'auraient pas utilisée à des fins monétaires. Le site Weba subi une autre violation en 2012 au cours de laquelle les comptes de millions d'utilisateurs ont été compromis, les données circulant toujours sur Internet des années plus tard.
Le site Web a déclaré qu'il avait fait appel à un cabinet de criminalistique professionnel, ainsi qu'aux forces de l'ordre, pour poursuivre le pirate informatique. Pendant ce temps, TarTarX demande un paiement de 4 Bitcoins pour l'intégralité de la base de données, qui est actuellement au prix d'environ 92 000 $.