Roll20, una popular plataforma de juegos de rol en línea, reveló el 3 de julio que sus sistemas habían sido violados. Dijo que un «mal actor» obtuvo acceso no autorizado al sitio web administrativo de la compañía el 29 de junio y pudo ver y acceder a todas las cuentas de usuario, exponiendo la información de identificación personal (PII) de los usuarios de Roll20. Nombres, direcciones de correo electrónico e IP y datos bancarios parciales expuestos Los datos en cuestión incluyen los nombres y apellidos de los usuarios, las direcciones de correo electrónico, la última dirección IP conocida y los últimos cuatro dígitos de la tarjeta de crédito de los usuarios que mantenían un método de pago almacenado en su cuenta de Roll20. La compañía agregó que ni las contraseñas de los usuarios, protegidas por un hash salt y bcrypt, ni la información completa del pago han sido expuestas. «No almacenamos esa información en nuestros servidores, se almacena con nuestros procesadores de pago», explicó la firma. “Si bien no tenemos motivos para creer que su información personal ha sido mal utilizada, se lo notificamos para que tenga la información y las herramientas necesarias para ayudar a detectar y prevenir cualquier mal uso de su información personal”, agregó. Roll20 le dijo al sitio web de noticias de juegos de mesa Dicebreaker que su base de usuarios había llegado a 10 millones de personas en 2022. La plataforma ahora afirma tener 12 millones de usuarios en su sitio web. Un portavoz de Roll20 contactado por los medios no reveló el número total de usuarios afectados por la violación. Roll20 implementó un plan de acción posterior al incidente En su aviso de seguridad, Roll20 dijo que su equipo de seguridad notó el compromiso aproximadamente a las 6:30 p.m., hora estándar del Pacífico, el 29 de junio. “El mal actor modificó una cuenta de usuario y rápidamente revertimos esas modificaciones. A las 7:30 p.m., hora estándar del Pacífico, el 29 de junio. [the same day] «Bloqueamos todo acceso no autorizado y pusimos fin a la violación de la red», se lee en el aviso. Roll20 no compartió quiénes fueron los piratas informáticos ni cómo obtuvieron acceso al portal administrativo de la empresa. Sin embargo, la empresa confirmó que comenzó a implementar un plan de acción después del incidente, que incluye: Restringir aún más el acceso a las cuentas administrativas para evitar el acceso no autorizado a las cuentas Restringir aún más los datos a los que puede acceder un usuario administrativo Agregar medidas de seguridad mejoradas según sea necesario para evitar que este incidente vuelva a ocurrir Los usuarios de Roll20 pueden comunicarse con la empresa a través de https://help.roll20.net con el asunto ‘Solicitud de datos del incidente’. Leer más: Discord.io detiene todas las operaciones después de una violación masiva de datos