Çevrimiçi evcil hayvan web sitesi Neopets, yaklaşık 69 milyon kullanıcının kişisel bilgilerini açığa çıkaran bir veri ihlaline kurban gittiğini doğruladı. Saldırıda web sitesinin kaynak kodu da çalındı. Kısa süre önce Neopets, kullanıcıların sanal evcil hayvanlarıyla oyun oynayabilecekleri, yetiştirebilecekleri ve oynayabilecekleri çevrimiçi bir Metaverse oyunu oluşturma planının bir parçası olan NFT’leri piyasaya sürdü.
Raporlara göre, ihlal Salı günü meydana geldi ve o zamandan beri kaynak kodunu ve veritabanını dark web’de satmaya başlayan ve yaklaşık 94.000 dolar Bitcoin kazanan ‘TarTaxX’ olarak bilinen bir bilgisayar korsanına atfedildi. Bilgisayar korsanı, erişimi nasıl elde ettiklerini açıklamadı, ancak verilerin fidye olmadığını onayladılar.
Cerberus Sentinel’de Denetim, Risk ve Uyumluluk Başkan Yardımcısı Tim Marley, BT Güvenlik Gurusuna şunları söyledi: “Paydaşlarımızın hassas verilerini gizli tutmadaki başarısızlık, Amerika Birleşik Devletleri’ndeki kuruluşlar için daha büyük sonuçlar doğuruyor. Şu anda beş eyalette gizlilik yasaları var ve diğer altı eyalette incelemenin bir aşamasında mevzuat var. Günün sonunda, bizi elimizdeki hassas verileri incelemeye ve veri yaşam döngüsünün her aşamasında koruduğumuzu doğrulamaya zorlayacak mevzuata ihtiyacımız olmamalı. Bu verilerin koruyucuları biziz ve bu bilgileri her zaman güvenli bir şekilde yönettiğimizi doğrulamak için müşterilerimize, müşterilerimize, ortaklarımıza ve sakinlerimize borçluyuz. Bunu yapmazsak, güvenlerini kaybedebiliriz ve bunun sonucunda önemli finansal ve operasyonel cezalara maruz kalabiliriz.”
Neopets üyeleri, sanal oyunda kullandıkları şifreye benzer veya aynı şifre ile herhangi bir sitede şifrelerini değiştirmeye şiddetle teşvik edilir. Ancak ne yazık ki, Neopets sitesindeki parolaların değiştirilmesi, bilgisayar korsanlarının sunuculara hala erişimi varsa, hesabın güvenliğini garanti etmez, bu örnekte de geçerlidir.
Marley şöyle devam ediyor: “Özellikle 13 yaşın altındaki çocuklar için hassas verilerin potansiyel olarak açığa çıkması konusunda endişeliyim. Bu site özellikle o yaş grubuna hitap etmese de, bunların çok daha fazla tüketildiğini göreceğimize inanıyorum. çocuklar tarafından hizmet. Öyleyse, FTC’nin Çocukların Çevrimiçi Gizliliğini Koruma Kuralı (COPPA) kapsamında inceleme yaptığını görebiliriz.”
Olayla ilgili olarak ayrıca Adamma’nın tehdit danışmanı Mike Varley de şu yorumu yapıyor: “Bu tür olaylara yanıt vermek, iyileştirici eylemlerle birlikte ince ayarlanmış bir hız dengesi gerektirir. Olaya müdahale edenlerin, sızıntının yayınlandığı ilk forumun başka bir kullanıcısı tarafından doğrulandığı bildirilen, veritabanına “canlı” erişime sahip olduklarına dair tehdit aktörünün iddialarını doğrulamaya çalışması gerekir. Oradan, müdahaleciler hem ilk erişim noktasını hem de aktörün kurmuş olabileceği herhangi bir kalıcı mekanizmayı belirlemek için geriye doğru çalışacaklardır. Bir kez tanımlandıktan sonra, aynı anda (veya hızlı bir şekilde art arda) meydana gelen birden fazla eylemi içerecek ve düşmanı ağdan çıkarmak, çevreye tekrar erişimini engellemek ve düşman faaliyetlerinde daha fazla yeniden canlanma olup olmadığını izlemek için tasarlanmış bir iyileştirme planı oluşturulabilir.
“Tehdit ortadan kaldırıldıktan sonra öğrenilen dersler, kuruluşlar tarafından iyileştirmenin, daha iyisini inşa etmenin bir yolu ve tarihin tekrarlanmasını önleyerek çevrelerinin ve müşterilerinin güvenliğini çok ciddiye almaları için kesin bir hatırlatma olarak görülmelidir. kendisi.”
Bir reddit kullanıcısına göre bu, sanal evcil hayvan dünyasını etkileyen ilk veri ihlali değil. Bu nedenle, üyelerin personelden resmi güncellemeler için başvurabilecekleri ve verileri etkilenirse nasıl devam edecekleri bir Twitter hesabı kurulur.