Un ataque expone los datos y contraseñas de una web de compraventa de objetos de Roblox
El pirata informático pudo buscar información sobre usuarios de Roblox de alto perfil, así como restablecer contraseñas y realizar otras acciones en las cuentas.
El 5 de mayo de 2020
Un pirata informático sobornó a un trabajador de Roblox para obtener acceso al panel de soporte al cliente de back-end del popular videojuego en línea, lo que les dio la capacidad de buscar información personal sobre más de 100 millones de usuarios activos mensuales y otorgar dinero virtual en el juego.
Con este acceso, el pirata informático podría ver la dirección de correo electrónico de los usuarios, así como cambiar las contraseñas, eliminar la autenticación de dos factores de sus cuentas, prohibir usuarios y más, según el pirata informático y las capturas de pantalla del sistema interno. Las capturas de pantalla compartidas con Motherboard incluyen la información personal de algunos de los usuarios de más alto perfil en la plataforma.
El hacker pudo haber buscado información sobre muchos usuarios, aunque parece que limitaron sus acciones a un puñado de cuentas. La noticia destaca no solo el riesgo de que personas con información privilegiada en las empresas exploten su acceso a los datos de los usuarios, sino que, dado que Roblox atiende a una gran audiencia de menores, cómo los piratas informáticos pueden acceder a los datos de los niños.
«Hice esto sólo para demostrarles algo», le dijo el hacker a Motherboard en un chat en línea. Motherboard otorgó al hacker el anonimato para hablar con mayor franqueza sobre un incidente criminal.
El hacker compartió un caché de capturas de pantalla del panel de atención al cliente que contiene datos de usuario de Roblox con Motherboard. Las capturas de pantalla contenían principalmente información personal, como direcciones de correo electrónico de un puñado de jugadores específicos de Roblox , pero algunas de ellas incluían usuarios de alto perfil como el YouTuber Linkmon99. Linkmon99 es bien conocido en la comunidad de Roblox por ser el jugador de Roblox «más rico» del mundo en términos de elementos limitados en el juego.
«Esa dirección de correo electrónico es la que está secretamente vinculada a mi cuenta», le dijo Linkmon99 a Motherboard cuando se le presentó la información personal expuesta y se le preguntó si era genuina. Linkmon99 dijo que el jueves recibieron un mensaje del pirata informático que contenía la dirección de correo electrónico vinculada a su cuenta, y «Sabía que debía ser cierto porque no hay otra forma en que alguien más podría haber encontrado ese correo electrónico u otra información privada que se adjuntó con respecto a mi historial de moderación, estado de la cuenta, etc. » La dirección de correo electrónico fue diseñada para ser privada y creada específicamente solo para su cuenta de Roblox después de que su cuenta fue pirateada previamente, dijo Linkmon99 a Motherboard.
Un portavoz de Roblox le dijo a Motherboard en un correo electrónico: «Inmediatamente tomamos medidas para abordar el problema y notificamos individualmente a la pequeña cantidad de clientes que se vieron afectados».