Neopets

Le site d'animaux virtuels de compagnie Neopets a vu les données de 69 millions de ses utilisateurs fuiter en ligne. Son code source a aussi été dérobé.

Neopets, ce site créé en 1999 et qui permet de posséder et d'élever des animaux de compagnie, puis de jouer à divers jeux en mode arcade avec eux, vit une période de sévères turbulences après la violation de données personnelles subies et le vol de son code source. Un hacker les a mis en vente sur le dark web, en échange de quatre bitcoins, soit un peu plus de 92 000 euros.

Neopets hacké et à ce stade, même changer de mot de passe ne suffit pas à protéger son compte

« Neopets s'est récemment rendu compte que les données des clients avaient peut-être été volées », a expliqué le site sur les réseaux sociaux et sur sa page d'accueil jeudi, ajoutant avoir immédiatement diligenté une enquête pour faire la lumière sur la fuite. Après avoir prévenu les forces de l'ordre, le site a fait appel à un cabinet spécialisé dans le cyber crime pour l'épauler.

Dans un second message, l'équipe de communication de Neopets ajoute que les adresses e-mail et les mots de passe de ses utilisateurs ont pu être affectés. Elle conseille évidemment à ces derniers de changer leur mot de passe au plus vite, même si cette solution ne représente pas une assurance tous risques dans la mesure où le pirate peut encore avoir potentiellement accès aux serveurs de Neopets. Par contre, les membres qui utilisent leur mot de passe Neopets sur d'autres sites sont invités à le modifier sur tous les autres sites.

Pour ce qui est de la fuite, un hacker qui se fait appeler TarTarX a mis en vente le code source de Neopets.com ainsi qu'une base de données comprenant les informations personnelles de 69 millions de membres, pesant pour environ 460 Mo compressés.

Plusieurs acheteurs auraient fait part de leur intérêt pour la base de données

Outre les adresses électroniques et mots de passe des membres, on retrouve des dates de naissance, des noms d'utilisateurs, la provenance des utilisateurs concernés et d'autres informations relatives au jeu. Le pirate informatique précise bien qu'il s'agit des données de 69 millions de membres, et non de 69 millions d'informations, ce qui donne un peu plus d'épaisseur encore à la fuite.

Alors, comment le hacker a-t-il eu accès à la base de données et au code source ? Difficile à dire, mais TarTarX a confié au site Bleeping Computer qu'il n'avait pas « rançonné » les données à Jumpstart Games, la société qui possède le site depuis 2014, et qui fait elle-même partie de la firme chinoise NetDragon. Le hacker fait toutefois part de l'intérêt de plusieurs acheteurs potentiels, qui seraient prêts à payer ces 4 bitcoins, sans que l'on sache s'il bluffe ou non. TarTarX avait en tout cas toujours accès au site Neopets lorsqu'il a commencé à vendre les données volées.

Neopets semble décidément éprouver quelques difficultés à se protéger efficacement, le site ayant déjà subi une fuite de données il y a quelques années.