Un employé de Roblox a été soudoyé par un hacker qui a eu accès à des millions de données d'utilisateurs
Un employé de Roblox, qui permet de programmer des jeux en Lua, a été soudoyé par un hacker
qui a eu accès à des millions de données d'utilisateurs mineurs
Roblox est un jeu vidéo gratuit anglophone massivement multijoueur en ligne destiné aux enfants et adolescents créé par David Baszucki, sorti en 2004 en version bêta et fini en 2005. Il permet de programmer des jeux en Lua. En décembre 2012, Roblox comporte 320 millions d'utilisateurs et atteint 10 millions de visiteurs uniques par mois, en faisant le premier site de divertissement pour enfants selon comScore.
Roblox est un jeu de type Sandbox. L'objectif est de construire un jeu pour qu'il soit visité par les autres joueurs. Les joueurs sont libres de construire ce qu'ils souhaitent et de partager leur création avec le reste de la communauté du jeu. Il y a plusieurs types de jeux populaires; courses d'obstacles (Obbys), les Tycoons, les simulations de tir et plusieurs autres.
Les joueurs, lorsqu'ils visitent un jeu, contrôlent leur personnage. Il est possible de modifier l'apparence de celui-ci en achetant divers objets comme des chapeaux, des vêtements, ou encore des visages. Ces objets peuvent être achetés avec des Robux, la monnaie virtuelle de Roblox.
Pour jouer, il faut créer un compte, le mode invité n'étant plus disponible depuis octobre 2017.
L'intégralité du jeu est modifiable, il est possible de créer ses propres scripts, textures et modèles pour les insérer dans un jeu.
Le hacker qui a accès au panneau de support client
Un hacker a soudoyé un employé de Roblox pour avoir accès au panneau de support client, lui donnant la possibilité de rechercher des informations personnelles sur plus de 100 millions d'utilisateurs mensuels actifs et d'accorder de la monnaie virtuelle dans le jeu.
Avec cet accès, le hacker pourrait voir l'adresse e-mail des utilisateurs, ainsi que changer les mots de passe, supprimer l'authentification à deux facteurs de leurs comptes, bannir des utilisateurs, etc., selon le hacker et les captures d'écran du système interne. Les captures d'écran incluent les informations personnelles de certains des utilisateurs les plus en vue de la plateforme.
Le hacker aurait pu rechercher des informations sur de nombreux utilisateurs, bien qu'il semble qu'ils aient limité leurs actions à une poignée de comptes. Les nouvelles mettent en évidence non seulement le risque que des initiés des entreprises exploitent leur accès aux données des utilisateurs, mais, avec Roblox s'adressant à un large public de mineurs, comment les pirates peuvent accéder aux données des enfants.
Roblox est disponible sur PC, Xbox et appareils mobiles. Les utilisateurs peuvent créer leurs propres jeux avec le moteur de leur plateforme ou jouer aux créations des autres. Roblox se penche également fortement sur les microtransactions, les utilisateurs pouvant acheter des passes de jeu pour accéder à plus de pouvoirs et de capacités, ou ils peuvent acheter des articles cosmétiques pour leur personnage avec de la monnaie dans le jeu. Les développeurs de jeux Roblox peuvent également retirer de l'argent et gagner de l'argent réel grâce à leurs créations.
Le jeu est particulièrement populaire auprès des enfants, avec une communauté YouTuber dynamique autour du jeu, et les familles utilisent la plateforme pour les rencontres et les fêtes pendant la pandémie de coronavirus.
« De nombreux enfants viennent à Roblox pour jouer avec leurs amis », a déclaré Craig Tech Donato, directeur commercial de Roblox. « C’est comme un terrain de jeu virtuel où ils ont tendance à sauter de match en match avec leurs amis ».
Un YouTubeur confirme l'authenticité de ses données
Dans des captures d'écran qui auraient été vues par Motherboard, le hacker a prétendu montrer un panneau de support client contenant des données utilisateur de joueurs de haut niveau tels que YouTubeur Linkmon99 - connu pour être le joueur le plus « riche » dans la monnaie virtuelle du jeu.
Le YouTubeur a confirmé à Motherboard que l'adresse e-mail indiquée était une adresse « secrètement » utilisée sur son compte après qu'elle ait été piratée précédemment et qu'elle avait reçu des messages du hacker.
« Je savais que cela devait être vrai car il n'y avait aucun autre moyen pour que quiconque puisse avoir trouvé ce courriel ou toute autre information privée jointe concernant mon historique de modération, l'état de mon compte, etc. », a-t-il déclaré.
Photo du panneau du support client fournie par le hacker
Au-delà de la simple visualisation des données utilisateur, le pirate a pu réinitialiser les mots de passe et modifier également les données utilisateur, selon les captures d'écran du panneau de support client que le hacker a partagé. Il a déclaré avoir changé le mot de passe de deux comptes et vendu leurs articles. L'une des captures d'écran semble montrer la modification réussie des paramètres d'authentification à deux facteurs, une forme de sécurité supplémentaire au-delà d'un simple mot de passe, sur un compte, avec le panneau indiquant « Paramètres de vérification à deux étapes mis à jour ».
Un porte-parole de Roblox a déclaré à Motherboard dans un courriel : « Nous avons immédiatement pris des mesures pour résoudre le problème et informé individuellement le très petit nombre de clients touchés ».
Le hacker tente de se faire payer, bien qu'il n'ait découvert aucun bogue
Le hacker a déclaré qu'il avait d'abord payé un initié pour effectuer des recherches de données utilisateur pour eux, puis ciblé lui-même un représentant du support client. Le hacker a fourni une série de captures d'écran montrant une communication présumée entre lui et l'initié; sur LinkedIn, ce travailleur est répertorié comme ayant travaillé en tant qu'in-game support pour Roblox.
Le hacker a également tenté de réclamer une prime de bogue à Roblox, ont-ils déclaré. Les chercheurs légitimes en matière de sécurité identifient souvent les vulnérabilités des sites ou des services, puis signalent ces problèmes aux entreprises respectives afin de résoudre le problème; les entreprises paient ensuite les chercheurs. La demande du hacker, qui semble avoir agi avec plus de malveillance qu'un chercheur légitime en matière de sécurité, a été rejetée.
À l'origine, le hacker a déclaré à Motherboard qu'il avait réussi une attaque par hameçonnage lancée contre un employé de Roblox pour accéder au panneau de support client, avant de revenir sur ses déclarations et de prétendre que cela était dû à un problème dans un logiciel d'authentification. Rien n'indique qu'une telle vulnérabilité existe. Roblox a classé cette intrusion dans la catégorie attaque par ingénierie sociale, qui serait en ligne avec le phishing. Il ne s’agit donc pas d’un bogue quelconque.
« Nous avons également signalé les actions de cet individu à HackerOne pour enquête en tant que mesure supplémentaire », a ajouté le porte-parole de Roblox dans sa déclaration, faisant référence à la plateforme de primes aux bogues que Roblox utilise pour diffuser les primes potentielles des chercheurs.
Le hacker a déclaré qu'il avait changé le mot de passe et volé des articles aux utilisateurs de Roblox une fois qu'il « a eu le sentiment qu’il n’allait pas décrocher sa prime ».
Cibler les représentants du support client peut être une méthode efficace pour les pirates d'accéder aux données des utilisateurs. Une méthode qui s’est déjà montrée efficace à de nombreuses reprises.
Source : Roblox, MB
Et vous ?
Aviez-vous déjà entendu parler de Roblox ? Qu'en pensez-vous ?
Répondre avec citation
Partager