Nesse sábado (26) saiu a informação vinda de um Engenheiro de Segurança no Twitter (@johnjhacking) dizendo ter acesso ao código-fonte inteiro do Neopets – incluindo senhas e dados de cartão de crédito. O engenheiro entrou em contato com a TNT e eles estão cientes e possivelmente já estão trabalhando no caso.

Essa informação veio de um engenheiro de segurança que ocasionalmente encontra falhas assim em sistemas e alertam as empresas para que elas efetuem as correções necessárias. Isso é bastante comum na indústria e não significa que essa pessoa abusou dos dados ou vai usa-los para o mal.

Por outro lado, essa vulnerabilidade no neopets existe há algum tempo e é possível que outros hackers mal intencionados já tenham a encontrado antes e estão em posse dos dados do site.

Segundo o engenheiro de segurança, outra invasão ocorreu no site em agosto utilizando essa mesma falha – que até o momento não foi corrigida (pois a TNT provavelmente não sabe como ela aconteceu). O engenheiro disse ter entregado detalhes de como essa invasão é possivel para auxiliar a TNT a corrigir a falha.

A recomendação no momento é trocar a senha de outros lugares que utilizem a mesma senha do Neopets e retirar os dados de cartão de crédito do site caso você tenha assinado Premium ou comprado NC utilizando o cartão de crédito.

Enquanto a falha não for corrigida é possível que hackers mal-intencionados tenham acesso novamente ao banco de dados do Neopets, então trocar a senha do site agora pode não ser muito efetivo, mas não custa nada alterar.

Quando tivermos mais informações esse post será atualizado.

[Atualização – 27/12] Aparentemente a TNT fez um rápido trabalho em consertar a vulnerabilidade e, segundo o @johnjhacking no Twitter, 4 das 5 falhas já foram corrigidas.

Agora parece ser uma boa hora para você alterar sua senha e seu PIN do Neopets. A TNT ainda não fez um pronunciamento sobre o ocorrido.

[Atualização – 28/12] A TNT finalmente fez um pronunciamento sobre o ocorrido com uma edição no Editorial segue a tradução:

Ei neopianos,
Gostaríamos de começar dizendo que a segurança das informações de nossos usuários é nossa principal prioridade. Como alguns de vocês devem estar cientes, neste final de semana nossa equipe foi notificada sobre possíveis formas de estranhos obterem acesso às informações ou dados do usuário no Neopets. Depois de analisar a notificação, verificamos que todas as informações pessoais do usuário permanecem protegidas com segurança e que nenhum dado atual foi exposto.

Para mais detalhes, segue o fio:

1. Nenhuma informação de cartão de crédito foi acessada por terceiros.

– Neopets não armazena essas informações em nossos servidores – elas são armazenadas em plataformas de pagamento separadas e são completamente seguras.

2. As informações de senha da conta do usuário eram e permanecem inacessíveis a terceiros.

– As senhas dos usuários não são armazenadas em texto simples.

– Nenhuma conta atual ou ativa foi exposta (todas as senhas do Neopets foram redefinidas em 2016).

3. Não armazenamos dados do usuário em nosso código.

– Após alguma investigação, nossa equipe descobriu que algumas informações que foram publicadas eram de um servidor de monitoramento antigo com algumas pastas de código web expostos. Esse código continha apenas dados antigos de teste internos, incluindo e-mail e endereços falsos para fins de teste interno, que não estão mais em uso.

– Todas as informações pessoais do usuário são armazenadas com segurança por trás de um firewall com um sistema de segurança em camadas. Descobrimos que uma página de status do servidor padrão da indústria contendo informações de conectividade atuais muito limitadas pôde ser acessada em situações específicas. Todos eles foram protegidos e não podem mais ser acessados.

4. A equipe limpou algumas áreas que foram encontradas com dados antigos e revisou todos os pontos de entrada envolvidos.

– Os dados do usuário e a segurança do nosso site são extremamente importantes para nós. Como continuamos nos certificando de que todos os dados estão completamente seguros, gostaríamos de garantir à comunidade que nenhuma informação de usuário ou conta foi acessada.

Como de costume, recomendamos atualizar sua senha com frequência para proteger ainda mais sua conta. Visite as configurações aqui.

Além disso, nossa política de privacidade pode ser encontrada aqui.

Segundo a TNT, nenhuma informação pessoal foi exposta e somente dados antigos de teste interno estavam comprometidos. De qualquer forma, é recomendado que você altere sua senha frequentemente para manter suas contas em segurança.