Kredyty obrazkowe: Aktywacja

4 grudnia hakerzy z powodzeniem wyłudzili dane pracownika giganta gier Activision, uzyskując dostęp do niektórych wewnętrznych danych pracowników i gier.

To naruszenie bezpieczeństwa danych zostało ujawnione dopiero w zeszły weekend, kiedy grupa badawcza ds. cyberbezpieczeństwa i złośliwego oprogramowania vx-underground opublikowane na Twitterze zrzuty ekranu skradzionych danych, a także wiadomości hakerów na wewnętrznym kanale Slack firmy Activision.

Ale nie tylko opinia publiczna była zaskoczona wiadomością o włamaniu. Activision nie powiadomiło jeszcze swoich pracowników o naruszeniu danych i czy ich dane zostały skradzione, według dwóch obecnych pracowników Activision, którzy mówili pod warunkiem zachowania anonimowości, ponieważ nie pozwolono im rozmawiać z prasą.

„To jest problem. Jeśli w grę wchodzą informacje pracownika, powinni byli ujawnić naruszenie” – powiedział TechCrunch jeden z pracowników.

Rzecznik Activision, Joseph Christinat, nie odpowiedział na prośbę o komentarz.

W odpowiedzi na wiadomość o naruszeniu, Christinat wcześniej udostępniła oświadczenie, w którym stwierdziła, że ​​Activision „szybko” odpowiedziała na próbę phishingu SMS-em i „szybko ją rozwiązała”. Zgodnie z oświadczeniem firma „ustaliła, że ​​nie uzyskano dostępu do wrażliwych danych pracowników, kodu gry ani danych graczy”.

Haker lub hakerzy byli w stanie uzyskać dostęp do szeregu arkuszy kalkulacyjnych, które zawierały dane pracowników, takie jak imiona i nazwiska, niektóre numery telefonów, firmowe adresy e-mail, a w niektórych przypadkach biura, w których pracują, zgodnie z kopią skradzionych danych, które vx-underground udostępnione TechCrunchowi.

Activision, która publikuje gry domowe, takie jak Call of Duty i World of Warcraft, jest w trakcie przejmowania przez Microsoft w ramach transakcji o wartości 68,7 miliarda dolarów. Regulatorzy w USA, Unii Europejskiej i Wielkiej Brytanii sprzeciwili się umowie.

Activision, do którego należy również Blizzard, ma swoją siedzibę w Kalifornii. Stan ma prawo powiadamiania o naruszeniu danych, które wymaga od firm powiadamiania ofiar naruszeń danych, gdy dotyczy to 500 lub więcej mieszkańców stanu, i nakazuje, aby „ujawnienie miało miejsce w jak najdogodniejszym czasie i bez nieuzasadnionej zwłoki, zgodnie z uzasadnionym potrzeby organów ścigania”.

Prawo definiuje „dane osobowe” jako obejmujące numer ubezpieczenia społecznego; inne dokumenty tożsamości, takie jak numer prawa jazdy; Kalifornijski dowód osobisty; „numer identyfikacji podatkowej, numer paszportu, wojskowy numer identyfikacyjny lub inny niepowtarzalny numer identyfikacyjny nadawany na dokumencie rządowym powszechnie używanym do weryfikacji tożsamości konkretnej osoby fizycznej”; dane medyczne i ubezpieczenia zdrowotnego; numery kart kredytowych; oraz danych biometrycznych i genetycznych.

Czy masz więcej informacji na temat tego naruszenia danych? Chcielibyśmy usłyszeć od ciebie. Z urządzenia, które nie działa, możesz bezpiecznie skontaktować się z Lorenzo Franceschi-Bicchierai przez Signal pod numerem +1 917 257 1382 lub przez Wickr, Telegram and Wire @lorenzofb lub e-mail lorenzo@techcrunch.com. Możesz także skontaktować się z TechCrunch za pośrednictwem SecureDrop.