Lo sviluppatore del gioco di simulazione spaziale multiplayer Star Citizen ha dichiarato di aver rivelato una violazione dei dati che ha rivelato informazioni legate agli account utenti, secondo un avviso pubblicato da Cloud Imperium Games (CIG). L’azienda ha dichiarato che l’incidente ha coinvolto un accesso non autorizzato a un sistema aziendale che memorizzava dati associati al gioco e alla sua comunità. CIG ha dichiarato di aver appreso della violazione dopo che attività insolite sul sistema interessato sono state rilevate e indagate con specialisti esterni della cybersecurity.
CIG ha detto che il sistema compromesso conteneva informazioni collegate a individui che hanno interagito con Star Citizen o titoli correlati come Squadron 42. L’azienda ha dichiarato che la violazione ha messo in luce nomi, indirizzi email, date di nascita, date di creazione dell’account e altri dettagli relativi all’account. CIG ha dichiarato che le informazioni sulle carte di pagamento non sono state memorizzate nel sistema interessato e non sono state esposte nell’incidente. L’azienda ha anche affermato che l’incidente non ha avuto alcun impatto sui server di gioco o sulle funzionalità di gameplay.
Nella sua divulgazione, CIG ha dichiarato di non avere prove che i dati esposti fossero soggetti a un uso improprio o che fossero stati condivisi su forum pubblici. L’azienda ha dichiarato di aver reimpostato le password degli account ritenuti essere stati colpiti e di aver avvisato gli utenti interessati via email con i passaggi necessari per proteggere i loro account. CIG ha inoltre dichiarato di aver implementato ulteriori misure di sicurezza volte a prevenire incidenti simili in futuro.
La notifica di violazione non specificava come sia stato ottenuto l’accesso non autorizzato al sistema aziendale né quando si sia verificato per la prima volta. CIG ha dichiarato di aver scoperto l’attività dopo che i suoi sistemi di monitoraggio della sicurezza hanno rilevato irregolarità e di aver preso prontamente provvedimenti per contenere l’incidente e mettere in sicurezza i sistemi interessati.
La dichiarazione di CIG affermava che il sistema interessato non includeva credenziali di autenticazione complete come le password in testo semplice, e che qualsiasi informazione sensibile di autenticazione memorizzata lì era archiviata in forma hash. L’azienda ha dichiarato di aver consigliato agli utenti di abilitare l’autenticazione multi-fattore per aggiungere un ulteriore livello di protezione dell’account.
CIG non ha fornito un conteggio del numero di account o utenti le cui informazioni erano contenute nel sistema interessato. L’avviso è stato pubblicato per informare la comunità e i titolari di conto dell’azienda che i dati associati ai loro conti potrebbero essere stati esposti, anche se non erano state osservate prove di un effettivo uso improprio.