O popular jogo de simulação política baseado no browser, NationStates, confirmou ter sido vítima de uma violação de segurança significativa, o que obrigou a equipa a retirar o site do ar para investigações. O incidente, que ocorreu no início desta semana, teve origem numa situação invulgar: um utilizador que reportava vulnerabilidades acabou por cruzar a linha ética e explorar o sistema.
O jogo, desenvolvido pelo autor Max Barry e vagamente baseado no seu romance Jennifer Government, revelou que um utilizador não autorizado conseguiu aceder ao servidor de produção e copiar informações sensíveis dos utilizadores. O site permanece indisponível enquanto a infraestrutura é reconstruída.
De caçador de bugs a intruso
O incidente desenrolou-se a 27 de janeiro de 2026, quando a equipa do NationStates recebeu um relatório de um jogador sobre uma falha crítica no código da aplicação. Este utilizador, que já tinha contribuído com cerca de uma dúzia de relatórios de segurança desde 2021 e até possuía um crachá de "Bug Hunter", decidiu ir além da simples notificação.
Durante os testes à vulnerabilidade, o jogador excedeu os limites autorizados e conseguiu obter execução remota de código (RCE) no servidor principal. Segundo Max Barry, o atacante explorou uma vulnerabilidade na funcionalidade "Dispatch Search", introduzida em setembro de 2025, que permitiu aceder e copiar o código da aplicação e a base de dados dos utilizadores para o seu próprio sistema.
Embora o indivíduo tenha pedido desculpa posteriormente e afirmado ter eliminado a informação copiada, a equipa do NationStates sublinha que não existe forma de verificar essa afirmação. Como medida de precaução, estão a tratar tanto o sistema como as informações como comprometidos. "Infelizmente, o relator não se limitou a confirmar a existência do erro, mas avançou e violou o servidor", explicou Barry na nota oficial.
Que dados foram expostos?
A intrusão resultou na exposição de vários tipos de informações pessoais dos jogadores. A lista confirmada inclui endereços de email (incluindo os históricos associados às contas), endereços IP e strings de UserAgent do browser utilizados para iniciar sessão.
Mais preocupante é a situação das palavras-passe. Embora estivessem encriptadas, estavam armazenadas como hashes MD5. Este é um protocolo antigo e considerado obsoleto pelos padrões modernos de segurança, sendo inadequado para prevenir a desencriptação num cenário onde o atacante possui uma cópia offline da base de dados. O site garantiu, no entanto, que não recolhe nomes reais, moradas físicas ou informações de cartões de crédito.
Existe ainda a possibilidade de exposição de mensagens privadas. A nota de segurança adverte que, embora o jogador não tenha obtido acesso direto ao servidor que aloja os "telegrams" (o sistema de mensagens do jogo), explorou o acesso ao mesmo e tentou copiar uma parte do conteúdo, sendo provável que algumas mensagens tenham sido comprometidas.
A equipa estima que o site possa regressar num prazo de dois a cinco dias, uma vez que o servidor de produção está a ser totalmente reconstruído em novo hardware, acompanhado por auditorias de segurança e uma atualização necessária na forma como as passwords são protegidas, conforme detalhado no aviso de violação de dados.
Nenhum comentário
Seja o primeiro!