Een dreigingsactor biedt een database met miljoenen Roblox-inloggegevens aan te koop op een cybercriminele marktplaats, volgens een rapport van Brinztech, a cybersecurity intelligence firm . De vermelding adverteert met een dataset van ongeveer 50 miljoen Roblox-inloggegevens tegen een prijs van $777. Brinztech zei dat het de aanbieding op 8 maart 2026 identificeerde en deze omschreef als een “hoge prioriteit” verkoop vanwege de omvang van de gegevens en de lage vraagprijs.
Volgens de onderzoekers bevat de dataset naar verluidt gebruikersnamen en wachtwoorden die ofwel in platte tekst zijn opgeslagen of beschermd zijn met zwakke hashing. Er wordt gezegd dat de gegevens ook directe inlog-URL’s bevatten die toegang tot toegang mogelijk maken zonder enkele basisbeveiligingscontroles te omzeilen.
De oorsprong van de archieven is niet bevestigd. Onderzoekers zeiden dat de inloggegevens waarschijnlijk zijn verzameld via infostealer-malware. Dit type kwaadaardige software infecteert het apparaat van een gebruiker en haalt opgeslagen inloggegevens en andere gevoelige informatie uit browsers en applicaties.
Het vermeende lek is niet onafhankelijk geverifieerd. Een reactie van Roblox, het online gamingplatform van Roblox Corporation, was op het moment van de rapportage nog niet gepubliceerd.
Brinztech zei dat de relatief lage prijs van $777 kan wijzen op een poging om de data snel te verkopen voordat de getroffen dienst gebruikers kan dwingen wachtwoorden te resetten of anderszins toegang te blokkeren. Onderzoekers beschreven dergelijke prijsstelling als een tactiek die soms wordt gebruikt bij de snelle verkoop van nieuw verkregen data.
Het rapport stelt dat de dataset mogelijk inloggegevens bevat die van gebruikers zijn verzameld in plaats van gegevens die rechtstreeks van Roblox-systemen zijn verkregen. Infostealer-malware verzamelt doorgaans inloggegevens van geïnfecteerde persoonlijke apparaten en verpakt deze in bestanden die bekend staan als stealer-logs, die later worden verkocht of verspreid op ondergrondse forums.
De vermelding verschijnt maanden nadat een andere grote dataset gekoppeld aan infostealer-activiteit werd gemeld. In januari 2026 identificeerde onderzoeker Jeremiah Fowler een verzameling van bijna 150 miljoen inloggegevens afkomstig van meerdere online platforms, waaronder Roblox-accounts.
Roblox is een online gamingplatform waar gebruikers games maken en spelen die door andere gebruikers zijn gemaakt. De dienst heeft een grote wereldwijde spelersbasis, waaronder veel jongere gebruikers.
Onderzoekers zeiden dat als de inloggegevens geldig zijn, aanvallers kunnen proberen toegang te krijgen tot accounts en controle te krijgen over in-game assets. Sommige Roblox-accounts bevatten gekochte virtuele valuta of items die een echte geldwaarde kunnen dragen.
De authenticiteit van de vermeende database en het aantal getroffen gebruikers zijn niet bevestigd. Roblox had op het moment van publicatie van het rapport geen openbare verklaring over de beweringen afgelegd.