Roblox a annoncé à la fin de la semaine dernière qu’il avait subi une violation de données affectant les participants aux conférences des développeurs Roblox 2022, 2023 et 2024.
Roblox est une plateforme de jeux et de création de jeux en ligne populaire parmi les jeunes publics qui conçoivent, créent et partagent des jeux avec une grande communauté de plus de 200 millions d’utilisateurs actifs.
La société organise chaque année un événement Roblox Developer Conference (PDC) qui aide les développeurs à réseauter, à apprendre et à partager leurs connaissances avec d’autres grâce à des ateliers et à de nouvelles présentations d’outils.
La plate-forme de jeu a récemment appris que Fintech, le fournisseur chargé du processus d’inscription à ces conférences, avait été victime d’une violation, une personne ayant obtenu un accès non autorisé à ses systèmes.
« Un fournisseur Roblox nous a récemment informé qu’il y avait eu un accès non autorisé à un sous-ensemble d’informations utilisateur Roblox à partir d’une liste d’inscription à la Conférence des développeurs Roblox 2022-2024 via son site Web », lit-on dans un avis publié sur X.
Les données volées dans les systèmes de FNTech incluent les noms complets, adresses e-mail et adresses IP des participants à la conférence.
La violation a également été ajoutée au service de notification de violation de données Have I Been Pwned (HIBP), qui signale que 10 386 adresses e-mail uniques sont incluses dans l’ensemble exposé. HIBP indique que 63% (6 500) des adresses e-mail compromises sont nouvelles (non exposées auparavant).
Sur une note connexe, en juillet 2023, HIBP a ajouté près de 4 000 comptes de développeurs Roblox qui étaient, encore une fois, des participants au RDC et dont les données ont été divulguées sur un forum de pirates informatiques. Cependant, cet ensemble semblait provenir d’une violation plus ancienne de 2021, exposant les participants au RDC entre 2017 et 2020.
Bien que la dernière violation de données ne mette pas immédiatement en danger les développeurs Roblox concernés, les informations exposées augmentent le potentiel d’attaques de phishing ciblées.
Roblox conclut sa déclaration en disant qu’il a pris des mesures pour s’assurer qu’une exposition similaire de données ne se produira pas à l’avenir.
En raison de la taille de sa communauté et de son activité économique animée, Roblox et ses utilisateurs ont été ciblés par des pirates informatiques à plusieurs reprises dans le passé.
En novembre 2022, plus de 200 000 utilisateurs ont installé une extension Chrome malveillante nommée SearchBlox, qui contenait du code de vol d’informations d’identification pour les comptes Roblox.