Cyberthreat.id – Situs web hewan peliharaan virtual Neopets telah mengalami pelanggaran data yang mengarah ke pencurian kode sumber dan database yang berisi informasi pribadi lebih dari 69 juta anggota.

Neopets adalah situs web populer di mana anggota dapat memiliki, memelihara, dan bermain game dengan hewan peliharaan virtual mereka. Neopets baru-baru ini meluncurkan NFT yang akan digunakan sebagai bagian dari game Metaverse online.

Dikutip dari Bleeping Computer, seorang peretas yang dikenal sebagai 'TarTarX' mulai menjual kode sumber dan basis data untuk situs web Neopets.com seharga empat bitcoin, senilai sekitar $94.000 dengan harga hari ini.

Dalam percakapan dengan BleepingComputer, TarTarX mengatakan bahwa mereka mencuri database dan sekitar 460MB (dikompresi) kode sumber untuk situs web neopets.com. Penjual mengklaim bahwa database ini berisi informasi akun lebih dari 69 juta anggota, yang berisi nama pengguna, nama, alamat email, kode pos, tanggal lahir, jenis kelamin, negara, email pendaftaran awal, dan informasi terkait situs/game lainnya.

Sementara peretas tidak akan mengungkapkan bagaimana mereka mendapatkan akses ke situs web, mereka memberi tahu kami bahwa mereka tidak menebus data ke Jumpstart, pemilik Neopets, tetapi telah menerima minat dari pembeli potensial.

Saat ini, BleepingComputer belum dapat memverifikasi keaslian database secara independen. Namun, pompompurin, pemilik forum peretasan Breached.co, memverifikasi klaim peretas dengan mendaftarkan akun di Neopets.com dan dikirimi catatan yang baru dibuat dari database. Lebih lanjut, verifikasi ini menunjukkan bahwa TarTarX terus memiliki akses ke situs neopets.com bahkan ketika mereka mulai menjual datanya.

Setelah berita pelanggaran menyebar secara online, tim Neopets, yang ditunjuk oleh singkatan TNT, telah mengkonfirmasi di server Neopets Discord tidak resmi bahwa mereka mengetahui insiden keamanan dan berupaya menyelesaikannya. Relawan Discord moderator memperingatkan bahwa mengubah kata sandi di Neopets mungkin tidak membantu mengamankan akun Anda jika penyerang masih memiliki akses ke server mereka.

"Kami harus mencatat bahwa efektivitas mengubah kata sandi Neopets Anda saat ini masih diperdebatkan selama peretas memiliki akses langsung ke basis data, karena mereka dapat dengan mudah memeriksa apa kata sandi baru Anda," ungkap Neopets di server Discord.

Sebagai informasi, ini bukan pelanggaran data pertama untuk Neopets, dengan data anggota sebelumnya beredar online pada tahun 2016 dari pelanggaran yang terjadi pada tahun 2012. Seorang pengguna Reddit bernama neo_truths mengatakan kepada BleepingComputer bahwa mereka telah "membaca" akses ke database setidaknya selama satu tahun setelah menemukan eksploitasi dalam kode sumber situs yang bocor.

neo_truths memberi tahu bahwa mereka menggunakan akses ini untuk menganalisis dan berbagi informasi tentang mekanisme permainan di Reddit. Namun, neo_truths mengatakan bahwa mereka menggunakan exploit orang lain untuk menyuntikkan kode ke fungsi PHP eval() untuk memodifikasi game sebagai lelucon April Mop.

Sayangnya, neo_truths mengatakan bahwa kodenya sangat besar dan tersebar di banyak server, dengan hanya beberapa pengembang yang mengelolanya. Kurangnya staf ini telah menyebabkan banyak pelanggaran oleh banyak orang di masa lalu, dengan satu eksploit yang digunakan secara aktif dilaporkan ke pengembang yang akhirnya memperbaikinya.

"Neo penuh dengan pelanggaran dan banyak orang memiliki (dan mungkin masih memiliki) akses selama bertahun-tahun. Satu-satunya perbedaan adalah mereka menggunakannya secara pribadi (kebanyakan untuk membuat dan menjual di luar situs) dan saya mencoba mengatasi beberapa masalah yang diketahui dengan data aktual," jelas neo_truths dalam komentar di Reddit.

Sementara neo_truths telah memiliki akses ke database Neopets untuk beberapa waktu, mereka mengatakan kepada BleepingComputer bahwa mereka tidak terlibat dalam pelanggaran baru-baru ini dan percaya bahwa pelaku ancaman memperoleh akses menggunakan cacat yang tidak terkait dengan kode Neopets.

"Eksploitasi kali ini tidak terkait dengan kode neo, hanya eksploit umum yang dimiliki banyak situs web," kata neo_truths kepada BleepingComputer.