Uma falha de segurança levou à exposição de dados pessoais de quase 4.000 desenvolvedores e criadores de conteúdo ligados ao game de sucesso Roblox. As informações foram obtidas por cibercriminosos a partir de uma conferência focada aos produtores da plataforma, com informações de participantes do evento entre os anos de 2017 e 2020.
As informações comprometidas incluem nomes completos, logins, endereços, datas de nascimento, e-mails e telefones. Endereços de IP usados na conexão a serviços do Roblox também fazem parte do volume, que incluiria produtores de conteúdo e desenvolvedores conhecidos na comunidade do game.
Enquanto os vazamentos teriam começado a surgir em julho, eles foram amplamente divulgados nesta semana depois de publicação de Troy Hunt, especialista em segurança e dono do site de pesquisa por comprometimento de dados Have I Been Pwned. De acordo com ele, alguns dos usuários atingidos pelo comprometimento já estariam sendo alvo de golpes a partir de e-mails de phishing ou ligações fraudulentas em busca de dados financeiros ou mais informações sensíveis.
Segundo o especialista, a obtenção dos dados pelos criminosos teria ocorrido em dezembro de 2020, mas só foi reconhecida e confirmada pelos responsáveis por Roblox nesta semana, após o contato de Hunt. Todos os atingidos foram informados sobre a exposição de seus dados, enquanto aqueles cujas informações vazaram de forma mais abrangente receberão um ano de assistência e proteção de identidade.
Vazamento de dados pode levar a golpes
Em comunicado oficial, os responsáveis pelo Roblox afirmaram que o vazamento dos dados aconteceu devido a um problema de segurança em uma empresa terceirizada. O comunicado não dá o número exato de atingidos, mas indica que eles seriam parte de um pequeno grupo de criadores de conteúdo para a plataforma, enquanto o alcance do comprometimento também seria limitado.
Ainda assim, a companhia se prontificou a entrar em contato com as vítimas para indicar os próximos passos e principais medidas de segurança. Enquanto isso, a promessa de Roblox é seguir monitorando o caso e ampliando as exigências de segurança para parceiros e terceirizados. Não existem indícios de acesso não autorizado ou comprometimentos aos sistemas do jogo em si ou à sua base de usuários, composta em grande parte por menores de idade.
Entre as recomendações de segurança usuais estão o cuidado com contatos diretos, seja em nome de Roblox ou de outras organizações, em busca de mais dados ou informações financeiras para verificações ou confirmações. O banco de dados comprometido foi adicionado ao serviço Have I Been Pwned, que permite verificar se um endereço de e-mail está presente não apenas neste, mas em múltiplos outros vazamentos registrados ao longo dos últimos anos.
FONTE: CANAL TECH