Le 21 juillet, Neopets, un site internet permettant d’adopter et d’élever des animaux de compagnie virtuels, a annoncé sur son site internet, ainsi que sur Twitter, s’être fait hacker. Au total, les données de 69 millions de ses utilisateurs ont été mis en vente sur le dark web par le hackeur et le code source du site a également été volé.

Le hackeur TarTarX a subtilisé le code source de Neopets ainsi que 460Mo de données compressées

Suite à ce hack, Neopets a tenu à informer ses utilisateurs de la situation en indiquant que des « des données clients avaient pu être volées ». Quelques heures plus tard, la sanction tombe : 69 millions de comptes Neopets ont vu leurs données subtilisées par le hackeur TarTarX qui les a mis en vente contre la somme de 4 bitcoins, soit environ 92 000 dollars, sur le dark web. Il a également mis en vente le code source du site web.

« Nous avons immédiatement lancé une enquête », ajoutent les administrateurs du site. Les responsables affirment également avoir fait appel aux forces de l’ordre et travaillent pour renforcer « les protections de nos systèmes et des données de nos utilisateurs ». Les adresses e-mail et mots de passe utilisés pour accéder aux comptes Neopets seraient concernés.

Neopets recommande également de changer le mot de passe de son compte, mais aussi de tout compte où le même mot de passe est utilisé. En plus de ces informations, le pirate a eu accès aux noms, adresses, e-mails, pays de résidence, code postal, date de naissance, etc. Toutefois, le changement de mot de passe sur Neopets peut ne pas suffire puisqu’à l’heure actuelle, les hackeurs peuvent potentiellement avoir accès aux serveurs du site, et donc dérober ces nouvelles informations.

Neopets n’aurait pas corrigé de nombreuses failles facilitant son hack

Ce n’est pas la première fois que Neopets est victime d’une intrusion. Le site avait subi un hack en 2012 et les données subtilisées n’ont fait leur apparition sur le dark web que quatre ans plus tard. Selon Bleeping Computer, plusieurs utilisateurs avaient déjà mentionné l’existence de failles sur le site permettant d’accéder à la base de données de la firme, et ce depuis plusieurs années. C’est le cas de neo_truths, un utilisateur de Reddit affirmant avec accès en lecture à cette base de données depuis au moins un an.

De son côté, le hackeur TarTarX s’est confié à Bleeping Computer. Il dit ne pas avoir proposé de rançon à Jumpstart Games, la société possédant Neopets depuis 2014. Il affirme que plusieurs personnes seraient intéressées pour payer 4 bitcoins afin d’acquérir les données qu’il a subtilisées. Au moment où il a commencé à vendre ces données, le hackeur précise qu’il avait toujours accès aux informations du site.

Cette année 2022 a notamment été marquée par les multiples piratages du groupe de hackeurs nord-coréen Lazarus, à l’origine du vol de 500 millions d’euros en Ethereum sur la blockchain Ronin, ainsi que du hack de la blockchain Harmony, afin de collecter 100 millions de dollars en actifs. Toutefois, les autorités américaines auraient réussi à saisir 500 000 dollars aux hackeurs, une maigre consolation face aux centaines de millions d’euros subtilisés.