На этой неделе на связь с журналистами издания Vice Motherboard вышел человек, подкупивший сотрудника поддержки Roblox. Он рассказал, что купил себе доступ к внутренней панели поддержки клиентов популярной игры, насчитывающей 100 000 000 активных пользователей в месяц. В качестве доказательства своих слов хакер предоставил изданию скриншоты.
Напомним, что Roblox доступна на ПК, Xbox и мобильных устройствах. Пользователи могут создавать свои собственные игры на базе платформы или играть в творения других. При этом Roblox активно использует микротранзакции: пользователи могут приобретать game pass’ы или косметические предметы за внутриигровую валюту. Разработчики игр Roblox также могут зарабатывать реальные деньги на своих творениях. Игра особенно популярна среди детей, а также имеет большое и активное сообщество на YouTube.
С приобретенным за неизвестную сумму доступом хакер, пожелавший остаться неизвестным, получил возможность искать личную информацию пользователей, видеть их email-адреса, менять пароли, отключать двухфакторную аутентификацию, банить пользователей и делать многое другое. Хотя хакер имел доступ к данным множества пользователей, похоже, он ограничился лишь несколькими учетными записями.
Скриншоты, которые злоумышленник предоставил изданию, содержали личную информацию некоторых наиболее известных пользователей платформы, например, ютюбера Linkmon99. Тот хорошо известен в сообществе Roblox, так как является «самым богатым» игроком: владеет наибольшим числом limited игровых предметов.
Сам Linkmon99 подтвердил журналистам, что фигурирующий на скриншотах адрес электронной почты действительно принадлежит ему. Ящик был создан специально для учтенной записи Roblox и хранился в строжайшем секрете, так как однажды учетную запись Linkmon99 уже взламывали. Хуже того, игрок сообщил изданию, что хакер уже связывался с ним, демонстрируя, что знает тот самый email-адрес, узнать который, по словам Linkmon99, злоумышленнику было попросту неоткуда.
«Я сделал, чтобы доказать им свою точку зрения», — заявил хакер, общаясь в чате с журналистами. Он рассказал, что хотел наглядно продемонстрировать разработчикам риски, которые создают инсайдеры c доступом к пользовательским данным, а также подчеркнул, что Roblox имеет огромную аудиторию среди несовершеннолетних, то есть третьи лица могут получить доступ к данным детей.
Дело в том, что вначале хакер вообще пытался получить bug bounty от разработчиков Roblox, хотя действовал он определенно вне рамок закона. Так, исходно он заплатил неизвестную сумму инсайдеру за поиск пользовательских данных (на LinkedIn этот человек чистится как подрядчик, работающий над in-game поддержкой Roblox), и уже после этого атаковал службу поддержки.
Первоначально злоумышленник и вовсе заявил журналистам, что использовал фишинг и взломал сотрудника Roblox, чтобы получить доступ к бэкэнду поддержки клиентов. Но затем он «изменил показания» и сообщил, что воспользовался неким багом, связанным с аутентификацией.
Представители Roblox заверили Vice Motherboard, что никакой уязвимости не существует, а действия хакера охарактеризовали как фишинговую атаку с применением социальной инженерии. Разработчики подчеркнули, что предупредили о действиях этого человека специалистов HackerOne, так как bug bounty программа платформы работает именно там.
Также в компании уверяют, что уже приняли меры для решения возникшей проблемы и адресно уведомили небольшое количество пострадавших клиентов, до чьих учетных записей успел добраться взломщик.
Хакер же понял, что не получит денег за «уязвимость» и принялся вредить: сменил пароли для нескольких учетных записей, украл и продал чужие внутриигровые предметы. На одном из его скриншотов также видно успешное изменение настроек двухфакторной аутентификации для чужой учетной записи.