NationStates, jogo multiplayer para navegador, confirmou um vazamento de dados após tirar seu site do ar no início desta semana para investigar um incidente de segurança.
O jogo de simulação governamental, criado por Max Barry e livremente inspirado no livro **Jennifer Government**, revelou que um usuário não autorizado acessou o servidor de produção e copiou dados dos jogadores.
Na noite de 27 de janeiro de 2026, por volta das 22h (UTC), a equipe do NationStates recebeu a denúncia de um jogador que identificou uma vulnerabilidade crítica no código da aplicação.
Durante os testes, contudo, esse jogador ultrapassou os limites permitidos e executou remotamente código no servidor principal (RCE), o que lhe permitiu copiar tanto o código do sistema quanto dados dos usuários para seu próprio computador.
“Esse jogador já havia enviado cerca de uma dezena de relatórios de bugs e vulnerabilidades desde 2021, especialmente nos últimos seis meses.
Ele não é funcionário e nunca teve autorização para acessar o servidor ou possuir privilégios especiais”, explicou Barry em uma atualização do comunicado sobre o vazamento divulgada em 30 de janeiro.
O jogador possuía o “Bug Hunter badge”, um reconhecimento concedido a usuários que reportam vulnerabilidades para que a equipe possa corrigi-las.
Embora o indivíduo tenha pedido desculpas e afirmado ter apagado os dados, o site não tem como verificar essa ação e, por isso, considera o sistema e as informações comprometidos.
A falha explorada estava em um recurso relativamente novo chamado “Dispatch Search”, lançado em 2 de setembro de 2025.
O invasor combinou uma higienização insuficiente das entradas fornecidas pelo usuário com um bug de dupla interpretação, resultando na execução remota de código.
“Trata-se de um bug crítico, o primeiro desse tipo reportado na história do site.
Agradecemos o aviso, mas infelizmente o autor não se limitou a confirmar a falha — ele também invadiu o servidor”, afirmou Barry em comunicado divulgado logo após a equipe tomar conhecimento do incidente.
“Devido ao acesso não autorizado, a única forma de garantir a segurança é reconstruir o servidor por completo.
Também precisamos apurar quais dados foram acessados ou copiados.
Isso deve levar alguns dias”, completou.
No momento da verificação da reportagem pelo BleepingComputer, o site nationstates.net estava intermitente, alternando entre o aviso da violação de dados e o site fora do ar.
Os dados expostos incluem:
- Endereços de e-mail, inclusive os antigos vinculados às contas
- Senhas armazenadas em hashes MD5, protocolo ultrapassado e vulnerável, incapaz de impedir a descriptografia caso o invasor tenha uma cópia offline dos dados
- Endereços IP usados para login
- Informações do navegador (User-Agent) durante os acessos
O NationStates esclarece que não coleta nomes reais, endereços físicos, telefones ou dados de cartões de crédito.
Quando o site voltar, os usuários poderão verificar quais dados específicos estão armazenados sobre suas nações em https://www.nationstates.net/page=private_info.
Sobre os dados dos “telegrams” — sistema interno de mensagens privadas semelhante a e-mails ou mensagens em fóruns —, o comunicado alerta: “O jogador não acessou diretamente o servidor com os dados dos telegramas, mas explorou uma entrada relacionada e tentou copiar parte dessas informações.
Acreditamos que algum conteúdo foi exposto.”
A previsão é que o site volte a funcionar entre dois e cinco dias.
Enquanto isso, o NationStates informou às autoridades competentes e está focado em reconstruir totalmente o servidor de produção em novo hardware, realizar auditorias e melhorias de segurança, além de atualizar o sistema de proteção das senhas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...