Dziecięca gra komputerowa Pracownik Roblox przekupiony przez hakera za dostęp do danych milionów użytkowników

Dziecięca gra komputerowa Pracownik Roblox przekupiony przez hakera za dostęp do danych milionów użytkowników



Haker, który przekupił pracownika za grę wideo online Roblox udało się uzyskać dostęp do danych osobowych ponad 100 milionów aktywnych użytkowników, możliwość zmiany haseł i adresów e-mail oraz przydzielania waluty w grze.

Haker najpierw zapłacił pracownikowi za wyszukiwanie danych o użytkownikach, a następnie zwrócił się do przedstawiciela obsługi klienta. Powiedzieli, że zrobili to, aby „udowodnić punkt” firmie.

Rozmawiając z Płyta główna pod warunkiem anonimowości haker może również usunąć uwierzytelnianie dwuskładnikowe (metoda, dzięki której logowanie użytkowników jest bardziej bezpieczne poprzez weryfikację logowania z drugiego urządzenia), uchwalić zakazy i ukraść przedmioty innym użytkownikom.


Roblox to darmowa gra, która „pozwala ci grać, tworzyć i być wszystkim, co tylko możesz sobie wyobrazić”, zgodnie z opisem w sklepie Microsoft Store. Jest dostępny na wielu platformach, w tym na smartfonach z Androidem i iOS, konsolach do gier Xbox i komputerach z systemem Windows.

Gracze mogą dostosowywać postacie, a następnie nawigować w „minigierach”, takich jak bieganie po torach przeszkód, nurkowanie, występowanie w roli superbohatera i wiele innych czynności.

Według Techcrunch, Jego miliony użytkowników w wieku od 8 do 18 lat, chociaż jego kluczowa grupa demograficzna ma od 9 do 15 lat.

„Wiele dzieci przyjeżdża do Roblox, aby bawić się ze swoimi przyjaciółmi”, wyjaśnia Craig Donato, dyrektor ds. Biznesowych Roblox w firmie Techcrunch. „To jest jak wirtualny plac zabaw, na którym zwykle skaczą z gry na grę ze swoimi przyjaciółmi – prawie jak skakanie, tak jak ja skakałem z huśtawki do małpich barów”.

Na zrzutach ekranu podobno oglądanych przez płytę główną haker wysłał zrzuty ekranu panelu obsługi klienta zawierające dane użytkowników od głośnych graczy, takich jak YouTuber Linkmon99 – znany z tego, że jest „najbogatszym” graczem ze względu na wartość swoich elementów w grze.

YouTuber potwierdził na płycie głównej, że podany adres e-mail był „tajnie” użyty na ich koncie po wcześniejszym zhakowaniu i otrzymał wiadomości od hakera.

„Wiedziałem, że to musi być prawda, ponieważ nikt inny nie mógł znaleźć tego e-maila lub innej prywatnej informacji dołączonej w związku z moją historią moderacji, statusem konta itp.” – powiedzieli.

Haker wyłudził (atak socjotechniczny mający na celu kradzież danych użytkownika) pracownika Roblox, aby uzyskać dostęp do panelu obsługi klienta, próbując uzyskać odszkodowanie za znalezienie błędu w systemie Roblox, chociaż nic nie wskazuje na to, że luka rzeczywiście istnieje.

Prośba hakera została odrzucona przez Robloxa, więc uciekli się do zmiany haseł i kradzieży przedmiotów od innych użytkowników, gdy „mieli wrażenie, że nagroda za odlot będzie na południe”.

W oświadczeniu dla płyty głównej rzecznik Roblox powiedział, że firma „natychmiast podjęła działania w celu rozwiązania problemu i indywidualnie powiadomiła bardzo małą liczbę klientów, którzy zostali dotknięci. Zgłosiliśmy również działania tej osoby do HackerOne [the bug bounty platform] do dochodzenia jako dodatkowy środek. ”

.



Source link