Der Entwickler des Mehrspieler-Weltraum-Simulationsspiels Star Citizen gab laut einer von Cloud Imperium Games (CIG) veröffentlichten Mitteilung von Cloud Imperium Games (CIG) bekannt, dass er eine Datenpanne offengelegt habe, die Informationen über Benutzerkonten offengelegt hat. Das Unternehmen erklärte, dass der Vorfall unautorisierten Zugriff auf ein Unternehmenssystem betraf, das Daten speicherte, die mit dem Spiel und seiner Community verbunden sind. CIG teilte mit, dass es von der Sicherheitslücke erfahren hatte, nachdem ungewöhnliche Aktivitäten auf dem betroffenen System festgestellt und mit externen Cybersicherheitsspezialisten untersucht wurden.
CIG erklärte, das kompromittierte System enthalte Informationen, die mit Personen in Verbindung stehen, die mit Star Citizen oder verwandten Titeln wie Squadron 42 interagiert haben. Das Unternehmen erklärte, dass der Datenverstoß Namen, E-Mail-Adressen, Geburtsdaten, Kontoerstellungsdaten und weitere kontobezogene Details offengelegt habe. CIG erklärte, dass Zahlungskarteninformationen nicht im betroffenen System gespeichert wurden und im Vorfall nicht offengelegt wurden. Das Unternehmen erklärte außerdem, dass der Vorfall keine Auswirkungen auf die Spielserver oder die Spielmechanik habe.
In seiner Offenlegung erklärte CIG, es habe keine Beweise dafür, dass die offengelegten Daten missbraucht oder in öffentlichen Foren geteilt wurden. Das Unternehmen teilte mit, dass es Passwörter für Konten, die vermutlich betroffen waren, zurückgesetzt und die betroffenen Nutzer per E-Mail mit Maßnahmen zur Sicherung ihrer Konten benachrichtigt hat. CIG erklärte außerdem, dass es zusätzliche Sicherheitsmaßnahmen ergriffen hat, um ähnliche Vorfälle in Zukunft zu verhindern.
Die Verstoßmeldung spezifizierte nicht, wie der unautorisierte Zugriff auf das Unternehmenssystem erreicht wurde oder wann er erstmals stattfand. CIG erklärte, es habe die Aktivität entdeckt, nachdem seine Sicherheitsüberwachungssysteme Unregelmäßigkeiten festgestellt hatten, und habe umgehend Maßnahmen ergriffen, um den Vorfall einzudämmen und die betroffenen Systeme zu sichern.
Die Erklärung von CIG besagte, dass das betroffene System keine vollständigen Authentifizierungsdaten wie Passwörter im Klartext enthielt und dass alle dort gespeicherten sensiblen Authentifizierungsinformationen in gehashter Form abgelegt wurden. Das Unternehmen erklärte, es habe den Nutzern geraten, die Multi-Faktor-Authentifizierung zu aktivieren, um eine zusätzliche Ebene des Kontoschutzes hinzuzufügen.
CIG gab keine Zählung der Konten oder Nutzer an, deren Informationen im betroffenen System enthalten waren. Die Mitteilung wurde veröffentlicht, um die Gemeinschaft und die Kontoinhaber des Unternehmens darüber zu informieren, dass mit ihren Konten verknüpfte Daten offengelegt worden sein könnten, selbst wenn keine Beweise für tatsächlichen Missbrauch festgestellt wurden.