Toplamda 3.943 Roblox geliştirici hesabı ele geçirildi, ancak daha da önemlisi, yetişkinlerin yanı sıra 13 yaş ve üstü çocukların da Roblox Geliştirici programına katılmasına izin veriliyor.
2021’de Roblox bir veri ihlali yaşadı, ancak şirketin bu bilgileri en az iki yıl sakladığı bildirildi. İhlal, temel olarak, artık taciz ve kimlik hırsızlığı gibi çevrimiçi dolandırıcılık riskini taşıyan Roblox geliştiricileri için 2017-2020 yılları arasında düzenlenen geçmiş konferansların katılımcılarını etkiledi.
Have I Been Pwned web sitesi yaratıcısı Troy Hunt, 18 Temmuz’da veri ifşasını kamuoyunun dikkatine sundu. Hunt’a göre cıvıldamak, birkaç kişi ona çevrimiçi olarak mevcut olan özel ayrıntıları hakkında bilgi verdi. Ancak Hunt, ihlalin etkisinin Roblox’un niş hile topluluklarının ötesine geçmediğini belirtti.
Avlamak açıkladı ihlalin ilk olarak 18 Aralık 2020’de meydana geldiğini ve yaklaşık 3.943 hesabın ele geçirildiğini. Açıklanan veriler, adlar, kullanıcı adları, telefon numaraları, e-posta kimlikleri, IP adresleri, ev adresleri, doğum tarihi ve tişört bedenleri gibi hassas ayrıntıları içeriyordu. Roblox şirketi bilgilendirdiğinde, etkilenen tüm bireylerle iletişime geçtiklerini söyledi.
“Asgari düzeyde etkilenen kullanıcılar az önce üzgün bir e-posta aldı. Roblox’un Hunt’a verdiği yanıtta, daha ciddi şekilde etkilenen kullanıcılar için, bir yıllık kimlik koruması ve diğer herkes için bir özür aldılar.
Roblox, üçüncü taraf bir güvenlik sorununun, yaratıcılarına ait bir kişisel veri alt kümesine yetkisiz erişime yol açtığını kabul etti. Şirket, bağımsız uzmanlarla iş birliği yaparak bu olayın nedenini ve etkisini belirlemek için bir soruşturma başlattı.
Şirketler, etkilenen tüm içerik oluşturuculara, Roblox’un onları desteklemek için atmayı planladığı adımlar hakkında bilgi veren bir e-posta göndereceğini ve şimdi siber güvenlik sistemlerini ve bağlı üçüncü taraf satıcılarını ihtiyatlı bir şekilde izleyecek ve inceleyeceklerini belirtti.
Bu Roblox rehberine göre yetişkinler dışında 13 yaş ve üstü çocukların da Roblox Developer programına katılmasına izin verildiğini belirtmek gerekir. Ancak platform reşit olmayanlar için tasarlanmamıştır.
Bu nedenle, 2023’ün ilk çeyrek kazanç raporuna göre Roblox’un günlük 66 milyondan fazla aktif kullanıcısının yaklaşık %43’ünün reşit olmadığı düşünülürse, veri sızıntısının geniş kapsamlı bir etkisi olabilir.
E-posta kimliklerinin açığa çıkması, kullanıcıları kimlik avı girişimlerine veya spam kampanyalarına maruz bırakabilir. Ayrıca, diğer ayrıntılar kullanılarak hedeflenen dolandırıcılıklar kolayca başlatılabilir.
Exabeam EMEA Güvenlik Stratejisi Başkanı Samantha Humphries, Roblox ihlaliyle ilgili bir yorumda Hackread.com’a şunları söyledi: “Saldırıyı gerçekleştiren tehdit aktörleri muhtemelen Roblox’un peşinden gitmiyor, konferansa katılanların kişisel hesapları ve işyerleri. Düşman, her kuruluşa ayrı ayrı saldırmak yerine, özellikle bu şirketin ilk veri sızıntısı olayı olmadığı için Roblox’u kırmanın daha kolay olacağını muhtemelen düşündü.
Samantha, “Konferansa katılan temsilcileri olan herhangi bir kuruluş için, anormallikleri tespit etmek, araştırmak ve ardından herhangi bir anormal davranışı hafifletmek için kullanıcı faaliyetlerine ilişkin görünürlük ve içgörü sahibi olmak çok önemlidir” uyarısında bulundu.
Samantha, “Roblox’un sürüme katkıda bulunduğunu onayladığı yetkisiz üçüncü taraf erişimi olasılığını azaltmak için, kuruluşları bir satıcı risk yönetimi planı oluşturmaya, üçüncü tarafları kapsamlı bir şekilde incelemeye ve uyanık kalmak ve güçlü parola yönetimi gibi en iyi siber güvenlik uygulamalarına uyum sağlamak için hesap verebilirlik talep etmeye teşvik ediyorum,” diye tavsiye etti Samantha.
Roblox, geniş bir kullanıcı tabanına ve geliştirici topluluğuna sahip, yaygın olarak kullanılan bir platformdur. Ancak platform, zayıf güvenlik nedeniyle eleştirilir. Şirket, kullanıcı gizliliğini ve verilerini koruduğunu iddia ediyor, ancak ihlali bu kadar uzun süre gizleme girişimi, kullanıcıların güvenini zedeledi.
Kullanıcılar bu hizmetleri kullanırken önlem almalıdır. Parolanızı her zaman düzenli olarak değiştirin ve 2FA kimlik doğrulamasını etkinleştirin. Şüpheli etkinlikleri hemen belirlemek için mali hesapları izlemeye devam edin.
İLGİLİ MAKALELER
- Bilgisayar korsanları, Roblox hesaplarını Trump yanlısı mesajlarla tahrif ediyor
- Epic Games Forumları Veri İhlalinden Zarar Görüyor; 800.000 Hesap Çalındı
- Town of Salem veri ihlali: 7,6 milyon oyuncunun kişisel verileri çalındı
- Oyun devi Electronic Arts, büyük veri ihlalinin en son kurbanı
- Sahte ROBLOX ve Nintendo oyun çatlakları, ChromeLoader kötü amaçlı yazılımını düşürür