De ontwikkelaar van het multiplayer ruimtesimulatiespel Star Citizen zei dat hij een datalek had onthuld waarbij informatie die gekoppeld is aan gebruikersaccounts werd blootgelegd, volgens een bericht gepubliceerd door Cloud Imperium Games (CIG). Het bedrijf zei dat het incident ongeautoriseerde toegang betrof tot een bedrijfssysteem dat gegevens opsloeg die verband houden met het spel en de gemeenschap. CIG zei dat het van de inbreuk had gehoord nadat er ongebruikelijke activiteit op het getroffen systeem was gedetecteerd en onderzocht was met externe cybersecurityspecialisten.
CIG zei dat het gecompromitteerde systeem informatie bevatte die gekoppeld was aan personen die contact hadden gehad met Star Citizen of gerelateerde titels zoals Squadron 42. Het bedrijf zei dat de inbreuk namen, e-mailadressen, geboortedata, accountaanmaakdata en andere accountgerelateerde details openbaarde. CIG zei dat betaalkaartinformatie niet was opgeslagen in het getroffen systeem en niet beschikbaar was gekomen bij het incident. Het bedrijf zei ook dat het incident geen invloed had op de spelservers of de functionaliteit van de gameplay.
In haar openbaarmaking zei CIG geen bewijs te hebben dat de blootgestelde gegevens misbruikt waren of dat ze op openbare fora werden gedeeld. Het bedrijf zei dat het wachtwoorden heeft gereset, voor accounts waarvan wordt aangenomen dat ze getroffen zijn, en heeft de getroffen gebruikers per e-mail op de hoogte gebracht met stappen om hun accounts te beveiligen. CIG zei ook dat het extra beveiligingsmaatregelen heeft ingevoerd om soortgelijke incidenten in de toekomst te voorkomen.
De inbreukmelding specificeerde niet hoe de ongeautoriseerde toegang tot het bedrijfssysteem was verkregen of wanneer deze voor het eerst plaatsvond. CIG zei dat het de activiteit ontdekte nadat zijn beveiligingsmonitoringsystemen onregelmatigheden hadden vastgesteld en dat het snel stappen ondernam om het incident in te dammen en de getroffen systemen te beveiligen.
De verklaring van CIG stelde dat het getroffen systeem geen volledige authenticatiegegevens zoals wachtwoorden in platte tekst bevatte, en dat alle gevoelige authenticatiegegevens die daar waren opgeslagen, in gehashte vorm werden opgeslagen. Het bedrijf zei dat het gebruikers adviseerde multi-factor authenticatie in te schakelen om een extra beschermingslaag voor accounts toe te voegen.
CIG gaf geen telling van het aantal accounts of gebruikers van wie de informatie in het getroffen systeem stond. De kennisgeving werd gepubliceerd om de gemeenschap en rekeninghouders van het bedrijf te informeren dat gegevens die aan hun rekeningen gekoppeld zijn mogelijk zijn blootgesteld, zelfs als er geen bewijs van daadwerkelijk misbruik was waargenomen.