Popularna internetowa platforma gier RPG i planszowych Roll20 ogłosiła w środę, że doświadczyła naruszenia bezpieczeństwa danych, w wyniku którego ujawniono dane osobowe niektórych użytkowników.
W artykule opublikowanym na oficjalnej stronie internetowejRoll20 poinformował, że 29 czerwca wykrył, że „zły aktor” miał przez godzinę dostęp do konta na stronie administracyjnej firmy, po czym firma „zablokowała wszelki nieautoryzowany dostęp i zaprzestała naruszeń sieci”.
„Aktor zagrażający wprowadził zmiany na koncie użytkownika, a my szybko cofnęliśmy te zmiany. W tym czasie ugrupowanie zagrażające mogło uzyskać dostęp do wszystkich kont użytkowników i je przeglądać” – napisała firma.
Według Roll20 haker „mógł uzyskać dostęp” do danych osobowych użytkowników, w tym ich imienia i nazwiska, adresu e-mail, ostatniego znanego adresu IP i ostatnich czterech cyfr numeru karty kredytowej, gdyby użytkownik zarejestrował na swoim koncie środek płatniczy . Firma dodała, że haker nie miał dostępu do haseł ani pełnych informacji o płatnościach, takich jak adresy domowe i pełne numery kart kredytowych.
Roll20 oświadczył, że powiadamia użytkowników o naruszeniu. Kilka użytkownicy wspólny Zrzuty ekranu powiadomień e-mail z mediów społecznościowych. To samo powiadomienie otrzymał także reporter TechCrunch.
Rzecznik Roll20, Jayme Boucher, nie odpowiedział na serię pytań zadanych przez TechCrunch, w tym na temat całkowitej liczby użytkowników, których to dotyczy, liczby użytkowników, którym skradziono ostatnie cztery cyfry karty kredytowej, sposobu, w jaki haker uzyskał dostęp do konta administracyjnego oraz czy firma posiada jakiekolwiek informacje na temat tożsamości hakera(ów).
Roll20 twierdzi na swojej stronie internetowej, że ma 12 milionów użytkowników i jest „numerem 1 w przypadku D&D online”.
„Szczerze żałujemy, że do tego zdarzenia doszło na naszej zmianie. Chociaż nie mamy dowodów na to, że jakiekolwiek dane są nadużywane i nie ujawniono żadnych haseł ani numerów kart, uważamy, że ważne jest, aby zachować przejrzystość wobec naszych użytkowników w zakresie potencjalnego narażenia ich danych osobowych” – Boucher powiedział TechCrunch w e-mailu. „Nadal prowadzimy dochodzenie i w tej chwili nie możemy udostępnić żadnych dalszych szczegółów poza tymi, które podaliśmy w powiadomieniu e-mailowym. Naszym priorytetem było jak najszybsze zapewnienie jak największej przejrzystości i dlatego dzisiaj poinformowaliśmy o tym użytkowników. »
W 2019 roku TechCrunch poinformował, że zrobił to haker skradziono ponad 600 milionów rekordów z 24 stron internetowychw tym Roll20. Haker wymienił wówczas 4 miliony rekordów firmy.