A Roll20, az online asztali szerepjáték platform, közölte, hogy adatvédelmi incidens érintette, amelyben felhasználóik néhány személyes adatát illetéktelenek szerezték meg.
A vállalat hivatalos weboldalán megjelent közlemény szerint június 29-én fedezték fel, hogy egy nem autorizált személy hozzáfért egyik adminisztratív fiókjukhoz, és egy órán keresztül szabadon böngészhetett benne. Ezt követően a Roll20 azonnal megszakította az illetéktelen hozzáférést és megerősítette hálózati biztonságát.
„Ez az illetéktelen személy egy felhasználói fiók adatait módosította, amit mi haladéktalanul helyreállítottunk. Ebben az időszakban azonban hozzáférése volt az összes felhasználói fiókhoz,” írta a cég.
A támadó, a Roll20 tájékoztatása szerint, „valószínűleg megtekinthette” azoknak a felhasználóknak a személyes adatait, akik fizetési módot tároltak fiókjaikban. Ilyen adatok lehetnek a teljes név, email cím, legutóbbi IP cím és a hitelkártya utolsó négy számjegye. A támadó azonban nem férhetett hozzá a jelszavakhoz és a teljes fizetési adatokhoz, mint a lakcímek és a teljes hitelkártyaszámok.
A vállalat értesítette a felhasználókat a történtekről. Az értesítést kapó felhasználók közül többen is megosztották az értesítő emailről készült képernyőképeket közösségi médián. Egy TechCrunch újságíró is megerősítette, hogy ő is kapott ilyen értesítést.
A cég szóvivője, Jayme Boucher nem válaszolt a TechCrunch kérdéseire az incidenssel kapcsolatban, például arra, hogy hány felhasználót érintett a biztonsági incidens, hány felhasználótól lopták el a hitelkártya utolsó négy számjegyét, hogyan szerezhetett hozzáférést a támadó az adminisztratív fiókhoz, és hogy van-e információ a támadó(k) kilétéről.
A Roll20 weboldala szerint 12 millió felhasználóval büszkélkedhet, és állítása szerint ez teszi őket az online D&D játékok első számú választásává.
„Mélyen sajnáljuk, hogy ez az incidens a mi felügyeletünk alatt történt. Habár nem áll rendelkezésünkre bizonyíték arra, hogy az adatokkal visszaéltek volna, és sem a jelszavak, sem a kártyaszámok nem kerültek nyilvánosságra, fontosnak tartjuk, hogy tisztán és nyíltan kommunikáljunk felhasználóink felé az esetleges adatexpozíciókról,” mondta Boucher a TechCrunch-nak küldött emailben.
„Továbbra is folyik a vizsgálat, jelenleg nem áll módunkban több részletet megosztani az értesítő emailen túl. Az átláthatóságot helyeztük előtérbe a lehető leggyorsabban, ezért értesítettük ma felhasználóinkat.”
Forrás: www.techcrunch.com