I dati di quasi 4.000 sviluppatori Roblox sono stati pubblicati online da ignoti cybercriminali. La segnalazione è arrivata da molte persone al noto Troy Hunt, creatore e gestore del sito Have I Been Pwned?, che consente di verificare se l’indirizzo email o il numero di telefono sono in un data breach. La gravità dell’intrusione è accentuata dal fatto che l’azienda californiana ha confermato solo ora il problema di sicurezza.
Compromessi quasi 4.000 account
Troy Hunt ha scoperto che sono apparsi online i dati di 3.943 sviluppatori, ovvero tutti quelli che hanno partecipato alle Roblox Developer Conference tra il 2017 e il 2020. Secondo un utente che ha contattato l’esperto di sicurezza, Roblox non ha mai svelato il data breach o avvisato i diretti interessati, violando le leggi californiane.
In base a quanto riportato sul sito Have I Been Pwned?, l’intrusione è avvenuta il 18 dicembre 2020. Il leak contiene nomi, numeri idi telefono, indirizzo email, data di nascita, username, indirizzo di residenza, indirizzo IP e anche la taglia della t-shirt. Si tratta di informazioni molto riservate che possono essere sfruttate per diversi tipi di attività illecite, tra cui truffe, molestie e furto di identità.
Le conseguenze del data breach possono essere gravissime, considerato che l’iscrizione al programma Developer è consentito agli utenti con età minima di 13 anni. Un portavoce di Roblox ha dichiarato che l’accesso non autorizzato riguarda “limitate informazioni personali” di un piccolo gruppo di sviluppatori.
L’azienda californiana ha avviato l’indagine con la collaborazione di esperti indipendenti e contattato tutti gli interessati tramite email. Non è chiaro se sono state informate le autorità, come prevede la legge. Le email associate ai 3.943 account sono state caricate sul sito Have I Been Pwned?, quindi è possibile verificarne la presenza nel leak.