O desenvolvedor do jogo de simulação espacial multiplayer Star Citizen disse que divulgou uma violação de dados que expôs informações ligadas a contas de usuários, segundo um aviso publicado pela Cloud Imperium Games (CIG). A empresa afirmou que o incidente envolveu acesso não autorizado a um sistema corporativo que armazenava dados associados ao jogo e à sua comunidade. A CIG informou que tomou conhecimento da violação após uma atividade incomum ser detectada no sistema afetado e investigada com especialistas externos em cibersegurança.
A CIG disse que o sistema comprometido continha informações ligadas a indivíduos que interagiram com o Star Citizen ou títulos relacionados, como o Esquadrão 42. A empresa afirmou que a violação expôs nomes, endereços de e-mail, datas de nascimento, datas de criação de conta e outros detalhes relacionados à conta. A CIG informou que as informações dos cartões de pagamento não foram armazenadas no sistema afetado e não foram expostas no incidente. A empresa também afirmou que o incidente não impactou os servidores do jogo nem a funcionalidade da jogabilidade.
Em sua divulgação, a CIG afirmou não ter evidências de que os dados expostos fossem sujeitos a uso indevido ou que tenham sido compartilhados em fóruns públicos. A empresa afirmou que redefiniu as senhas das contas que se acredita terem sido afetadas e notificou os usuários afetados por e-mail, com medidas para proteger suas contas. A CIG também afirmou que implementou medidas de segurança adicionais destinadas a prevenir incidentes semelhantes no futuro.
O aviso de violação não especificou como o acesso não autorizado ao sistema corporativo foi realizado ou quando ocorreu pela primeira vez. A CIG afirmou que descobriu a atividade após seus sistemas de monitoramento de segurança detectarem irregularidades e que tomou medidas prontas para conter o incidente e proteger os sistemas afetados.
A declaração da CIG afirmou que o sistema afetado não incluía credenciais completas de autenticação, como senhas, em texto simples, e que qualquer informação sensível de autenticação armazenada ali estava armazenada em forma de hash. A empresa afirmou que recomendou aos usuários a ativarem a autenticação multifator para adicionar uma camada adicional de proteção da conta.
A CIG não forneceu uma contagem do número de contas ou usuários cujas informações estavam contidas no sistema afetado. O aviso foi publicado para informar a comunidade e os titulares de contas da empresa que dados associados às suas contas podem ter sido expostos, mesmo que nenhuma evidência real de uso indevido tenha sido observada.