На крупной игровой платформе Roblox произошла крупная утечка данных, в результате которой были обнародованы персональные данные, включая адреса участников конференции разработчиков Roblox в период с 2017 по 2020 год. Утечка затронула около 4 тыс. человек и включала их имена, телефоны, электронные адреса, даты рождения и размеры футболок. Такая информация может быть использована злоумышленниками для кражи личности и других видов мошенничества. Это поднимает серьезные вопросы о том, насколько надежно защищены данные одной из самых больших игровых платформ.
“Компания Roblox осведомлена о проблеме с безопасностью, возникшей в результате действий третьих лиц, которые указывают на несанкционированный доступ к ограниченной персональной информации некоторых членов нашего сообщества создателей”, - сказал представитель Roblox по электронной почте. “Мы привлекли независимых экспертов для помощи в расследовании, которое проводит наша команда по информационной безопасности. Мы отправим электронное письмо тем, кто пострадал от этого, с информацией о том, что мы сделаем для их поддержки. Мы продолжаем тщательно следить за состоянием кибербезопасности Roblox и наших внешних поставщиков”.
Не похоже, что Roblox проявляла здесь особую бдительность. Сайт haveibeenpwned сообщает, что первоначальная дата взлома - 18 декабря 2020 г., а информация стала доступна 18 июля 2023 г., всего было скомпрометировано 3943 аккаунта. Сайт отмечает, что кроме упомянутой информации, утечка содержит даже размер футболки каждого человека.
Последствия этого для пострадавших - кража личных данных и мошенничество, причем особую тревогу вызывает количество данных: это практически все, что нужно, чтобы эффективно выдать себя за другого человека. Кроме данного заявления, компания Roblox не давала никаких дополнительных объяснений, и вероятно, расследование этого будет продолжаться еще некоторое время, особенно если кто-то из этого списка действительно пострадал. Всем, кого это затронуло, следует проверить информацию на сайте haveibeenpwned и включить двухфакторную аутентификацию на всех своих аккаунтах (а также в ближайшее время особенно внимательно следить за своими банковскими операциями).
Трой Хант (Troy Hunt), инженер, создавший сайт haveibeenpwned, сказал, что утечка была опубликована в 2021 году, но по словам анонимного источника, она не выходила за рамки узких кругов сообщества Roblox, а компания тогда не сделала ее публичной и не оповестила всех пострадавших. Затем утечка появилась на одном из общедоступных форумов несколько дней назад.
“Сейчас Roblox связалась со всеми пострадавшими”, - говорится в заявлении компании, отправленном Ханту. “Минимально пострадавшие пользователи просто получили извинения. Для более серьезно пострадавших пользователей они предоставили годовую защиту персональных данных, а для всех остальных - извинения.”
