El desarrollador del juego de simulación espacial multijugador Star Citizen dijo que reveló una brecha de datos que expuso información vinculada a cuentas de usuarios, según un aviso publicado por Cloud Imperium Games (CIG). La empresa afirmó que el incidente implicó acceso no autorizado a un sistema corporativo que almacenaba datos asociados al juego y a su comunidad. CIG informó que se enteró de la brecha tras la detección de actividad inusual en el sistema afectado e investigada con especialistas externos en ciberseguridad.
CIG afirmó que el sistema comprometido contenía información vinculada a individuos que han interactuado con Star Citizen o títulos relacionados como el Escuadrón 42. La empresa afirmó que la brecha expuso nombres, direcciones de correo electrónico, fechas de nacimiento, fechas de creación de cuentas y otros detalles relacionados con la cuenta. CIG indicó que la información de las tarjetas de pago no se almacenó en el sistema afectado y no fue expuesta en el incidente. La compañía también afirmó que el incidente no afectó a los servidores del juego ni a la funcionalidad de la jugabilidad.
En su divulgación, CIG afirmó no tener pruebas de que los datos expuestos fueran objeto de un uso indebido ni de que se compartieran en foros públicos. La compañía afirmó que restableció las contraseñas de las cuentas que se cree que se vieron afectadas y notificó a los usuarios afectados por correo electrónico con pasos para proteger sus cuentas. CIG también afirmó que implementó medidas de seguridad adicionales destinadas a prevenir incidentes similares en el futuro.
El aviso de incumplimiento no especificaba cómo se logró el acceso no autorizado al sistema corporativo ni cuándo ocurrió por primera vez. CIG afirmó que descubrió la actividad después de que sus sistemas de monitorización de seguridad detectaran irregularidades y que tomó medidas inmediatas para contener el incidente y asegurar los sistemas afectados.
El comunicado de CIG señaló que el sistema afectado no incluía credenciales de autenticación completas, como las contraseñas en texto plano, y que cualquier información sensible de autenticación almacenada allí estaba almacenada en forma hashada. La compañía dijo que aconsejaba a los usuarios habilitar la autenticación multifactor para añadir una capa adicional de protección de la cuenta.
CIG no proporcionó un recuento del número de cuentas o usuarios cuya información estaba contenida en el sistema afectado. El aviso se publicó para informar a la comunidad de la empresa y a los titulares de cuentas de que los datos asociados a sus cuentas podrían haber sido expuestos, incluso si no se había observado evidencia de un uso indebido real.