Le développeur du jeu de simulation spatiale multijoueur Star Citizen a déclaré avoir révélé une fuite de données révélant des informations liées à des comptes utilisateurs, selon un avis publié par Cloud Imperium Games (CIG). La société a indiqué que l’incident impliquait un accès non autorisé à un système d’entreprise stockant des données associées au jeu et à sa communauté. CIG a indiqué avoir pris connaissance de la faille après que des activités inhabituelles ont été détectées sur le système concerné et ont enquêté avec des spécialistes externes de la cybersécurité.
CIG a indiqué que le système compromis contenait des informations liées à des individus ayant interagi avec Star Citizen ou des titres apparentés tels que Squadron 42. L’entreprise a indiqué que la violation avait révélé des noms, des adresses e-mail, des dates de naissance, des dates de création de compte et d’autres détails liés au compte. CIG a indiqué que les informations sur les cartes de paiement n’avaient pas été stockées dans le système concerné et n’avaient pas été exposées lors de l’incident. La société a également précisé que l’incident n’avait pas affecté les serveurs de jeu ni la fonctionnalité de gameplay.
Dans sa divulgation, CIG a indiqué ne disposer d’aucune preuve que les données exposées étaient susceptibles d’un usage abusif ou qu’elles avaient été partagées sur des forums publics. L’entreprise a indiqué avoir réinitialisé les mots de passe des comptes supposés avoir été affectés et informé les utilisateurs concernés par e-mail avec des mesures pour sécuriser leurs comptes. CIG a également indiqué avoir mis en place des mesures de sécurité supplémentaires destinées à prévenir des incidents similaires à l’avenir.
L’avis de violation ne précisait pas comment l’accès non autorisé au système corporatif avait été obtenu ni quand il s’était produit pour la première fois. CIG a indiqué avoir découvert l’activité après que ses systèmes de surveillance de sécurité ont détecté des irrégularités et qu’elle avait rapidement pris des mesures pour contenir l’incident et sécuriser les systèmes concernés.
Le communiqué de CIG indiquait que le système concerné n’incluait pas les identifiants d’authentification complets tels que les mots de passe en texte clair, et que toute information sensible d’authentification stockée à cet endroit était stockée sous forme hachée. La société a indiqué avoir conseillé aux utilisateurs d’activer l’authentification multifacteur afin d’ajouter une couche supplémentaire de protection du compte.
CIG n’a pas fourni de décompte du nombre de comptes ou d’utilisateurs dont les informations étaient contenues dans le système concerné. L’avis a été publié pour informer la communauté de l’entreprise et les titulaires de comptes que des données associées à leurs comptes pouvaient avoir été exposées, même si aucune preuve d’utilisation abusive réelle n’avait été observée.