Neopets bevestigt dat een of meerdere aanvallers onlangs binnenkwamen in de database van het bedrijf. Volgens een anonieme tip staan de persoonsgegevens van 69 miljoen gebruikers voor vier bitcoin te koop.

Neopets is een browserspel. Het bedrijf werd in 1999 opgericht en zes jaar later aan Viacom verkocht voor 160 miljoen dollar. Het spel is lang niet meer zo populair als toen, maar nog altijd actief. De huidige eigenaar is NetDragon, een Chinese organisatie.

Op 21 juli maakte het team van Neopets via Twitter bekend dat de persoonsgegevens van klanten “mogelijk” zijn gestolen. Vlak na de update schreef het team niet meer over persoonsgegevens, maar de “e-mailadressen en wachtwoorden van accounts”. Het probleem lijkt groter dan gedacht.

“We zijn een onderzoek gestart, bijgestaan door een toonaangevend forensisch bedrijf”, aldus het team. “Daarnaast schakelen we handhavers in. Als je een Neopets-wachtwoord op andere websites gebruikt, raden we je aan om die wachtwoorden ook te wijzigen.”

69 miljoen accounts

Neopets bevestigt niets over de omvang van het lek, maar fansite Jellyneo heeft een idee. Een anonieme bron liet weten dat de gegevens van 69 miljoen accounts op het darkweb te koop staan. Volgens de fansite zijn de gegevens en de broncode van Neopets voor vier bitcoin beschikbaar (ongeveer 94.000 euro).

De fansite voegt toe dat de aanbieder real-time toegang tot de database verkoopt voor een extra tarief. Dit zou betekenen dat de database nog steeds blootligt, waardoor wachtwoordwijzigingen nutteloos zijn.

Niet de eerste

De kans is groot dat het bericht klopt. Neopets heeft meerdere aanvallen achter de kiezen. In 2020 ontdekte securityonderzoeker John Jackson dat de inloggegevens voor de database op het darkweb werden verhandeld. Logisch, want de inloggegevens waren in de code van de website beschikbaar. Dat noemen we ‘hard coded’. Elke serieuze hacker had toegang.

We verwachten niet dat de meest recente aanvaller een koper vindt. In 2016 bevestigde Neopets dat de gegevens van 27 miljoen gebruikers op straat lagen. Volgens website HaveIbeenPwned vond het datalek zo vroeg als 2013 plaats. Het is mogelijk dat dezelfde gegevens in het nieuwe datalek opduiken.

Stokoude server

Toen John Jackson de infrastructuur in 2020 onderzocht, bleek Neopets op een stokoude Apache webserver te draaien. Een misconfiguratie maakte het mogelijk om inloggegevens te stelen. In een reactie beloofde Neopets de security te verbeteren. “Gebruikersgegevens en de veiligheid van onze site zijn uiterst belangrijk voor ons”, zei JumpStart, het toenmalige moederbedrijf. De organisatie voegde geen daad bij woord.

Tip: Medewerker Avaya verkoopt 87 miljoen euro aan gestolen licenties