NationStates, sebuah game berbasis browser multipemain, telah mengonfirmasi adanya pelanggaran data setelah membuat situs webnya offline awal pekan ini untuk menyelidiki insiden keamanan.
Game simulasi pemerintah, yang dikembangkan oleh penulis Max Barry dan berdasarkan novelnya Jennifer Government, mengungkapkan bahwa pengguna yang tidak sah memperoleh akses ke server produksinya dan menyalin data pengguna.
Pelapor kerentanan melewati batas
Pada tanggal 27 Januari 2026, sekitar pukul 10 malam (UTC), NationStates menerima laporan dari pemain yang menemukan kerentanan kritis dalam kode aplikasinya.
Namun, saat menguji bug, pemain melampaui batas resmi dan memperoleh eksekusi kode jarak jauh (RCE) di server produksi utama, memungkinkan dia menyalin kode aplikasi dan data pengguna ke sistemnya sendiri.
“Pemain ini memiliki sejarah berkontribusi sekitar selusin laporan bug & kerentanan ke NationStates sejak tahun 2021, khususnya selama enam bulan terakhir. Dia bukan anggota staf dan tidak pernah diberikan izin untuk masuk ke server atau akses istimewa apa pun,” tulis Barry dalam sebuah pemberitahuan pelanggaran data diperbarui 30 Januari.
“Negaranya sebelumnya telah diberi lencana Pemburu Bug, yang merupakan inisiatif yang memberi penghargaan kepada pemain karena melaporkan bug & kerentanan situs untuk kami perbaiki.”
Meskipun individu tersebut kemudian meminta maaf dan mengklaim bahwa datanya telah dihapus, situs tersebut tidak memiliki cara untuk memverifikasi hal ini dan oleh karena itu menganggap sistem dan data tersebut sebagai sistem yang telah disusupi.
Pelanggaran ini berasal dari kelemahan pada fitur yang relatif baru yang disebut “Dispatch Search”, yang diperkenalkan pada tanggal 2 September 2025. NationStates mengatakan penyerang menyatukan sanitasi yang tidak memadai pada input yang diberikan pengguna dengan bug penguraian ganda, sehingga mengakibatkan RCE.
“Ini adalah bug kritis, dan pertama kalinya hal seperti ini dilaporkan dalam sejarah situs. Kami berterima kasih atas laporan tersebut. Sayangnya, pelapor tidak hanya mengonfirmasi keberadaan bug tersebut, namun juga kemudian melanjutkan dan membobol server.”
“Karena ada orang yang tidak berwenang masuk ke server, satu-satunya cara untuk memastikan keamanannya adalah dengan melakukan penyemprotan menyeluruh dan membangunnya kembali. Kami juga perlu menentukan materi apa yang diakses atau disalin dari server. Ini mungkin akan memakan waktu setidaknya beberapa hari,” tulis Barry sebelumnya, tak lama setelah mengetahui paparan data tersebut.
Hari ini, dalam pengujian oleh BleepingComputer, negara bangsa.net situs tersebut sesekali aktif, menampilkan pemberitahuan pelanggaran, sebelum turun pada saat penulisan.
Data yang terpapar termasuk alamat email, hash kata sandi MD5
Data yang terungkap berisi:
- Alamat email (termasuk alamat email yang terkait dengan akun di masa lalu)
- Kata sandi: disimpan sebagai hash MD5, yang merupakan protokol lama yang sudah usang menurut standar modern, dan tidak memadai untuk mencegah dekripsi dalam kejadian seperti ini, di mana penyerang dapat memiliki salinan data secara offline
- Alamat IP yang digunakan untuk login
- string UserAgent browser yang digunakan untuk masuk
Data Telegram: “Pemain tidak mendapatkan akses ke server yang menyimpan data telegram, namun mengeksploitasi akses ke server tersebut, dan berusaha menyalin sebagian datanya. Kami menganggap ada kemungkinan beberapa konten terekspos,” pemberitahuan pelanggaran data lebih lanjut memperingatkan.
Dalam konteks permainan, a telegram adalah sistem pesan pribadi internal, mirip dengan pesan pribadi (PM) email atau forum.
NationStates menyatakan bahwa mereka tidak mengumpulkan nama asli, alamat fisik, nomor telepon, atau informasi kartu kredit.
Website tersebut diperkirakan akan kembali online dalam waktu dua hingga lima hari. Setelah dipulihkan, pengguna akan dapat mengatur ulang kata sandi mereka, dan memeriksa data persis yang disimpan untuk mereka bangsa pada https://www.nationstates.net/page=private_info.
Sementara itu, NationStates telah melaporkan kejadian tersebut kepada otoritas pemerintah, karena mereka fokus pada pembangunan kembali server produksi pada perangkat keras baru, melakukan audit dan peningkatan keamanan, serta meningkatkan keamanan kata sandi.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
