Un employé Roblox a vendu l'accès aux données utilisateur à un pirate du web

Les pirates n'ont pas nécessairement besoin de pénétrer dans les réseaux pour compromettre les sociétés de jeux - parfois, il s'agit simplement de contraindre les bonnes personnes. Un attaquant anonyme parlant à Motherboard a révélé qu'il avait soudoyé un représentant du service client de Roblox pour avoir accès au panneau de support client de la plateforme de jeu en ligne. L'intrus pouvait voir les adresses e-mail, changer les mots de passe, supprimer l'authentification à deux facteurs et même interdire les utilisateurs.

Cela a été fait uniquement pour «prouver un point», a déclaré le pirate. À titre de preuve, ils ont fourni des photos montrant les détails d'une poignée de joueurs, y compris des exemples très médiatisés. Cependant, ce n'était pas un acte strictement vertueux - l'auteur a changé les mots de passe pour deux comptes, vendu des articles et mis à jour les paramètres à deux facteurs une fois qu'il est devenu clair qu'une tentative de réclamer une prime de bogue (pour une faille inexistante) n'allait pas travailler.

Sans surprise, le studio n'était pas content. Un porte-parole a déclaré qu'il s'était précipité pour "résoudre le problème" et alerter les clients concernés. Il a également signalé le coupable au programme de prime aux bogues HackerOne pour une enquête.

L'incident n'a fait que peu de dégâts, mais souligne les risques croissants d'attaques d'ingénierie sociale (c'est-à-dire de s'attaquer aux travailleurs ayant accès aux contrôles clés). Ceci, l'échange de cartes SIM et des systèmes similaires exploitent fréquemment des processus de vérification laxistes et des représentants du service client à bas prix pour obtenir un accès qu'ils n'auraient pas autrement. À moins qu'une entreprise ne trouve des moyens de décourager le personnel de recevoir des pots-de-vin, vous pourriez facilement voir des incidents comme celui-ci à l'avenir.