El popular plataforma de juegos de mesa y rol en línea Roll20 anunció el miércoles que había sufrido una violación de datos, que expuso información personal de algunos usuarios.
En una publicación en su sitio web oficial, Roll20 dijo que el 29 de junio detectó que un «actor malicioso» había obtenido acceso a una cuenta en el sitio web administrativo de la compañía por una hora, después de lo cual la compañía «bloqueó todo acceso no autorizado y puso fin a la brecha en la red».
«El actor malicioso modificó una cuenta de usuario, y revertimos esas modificaciones rápidamente. Durante este tiempo, el actor malicioso pudo acceder y ver todas las cuentas de usuario», escribió la compañía.
Según Roll20, el hacker «pudo haber visto» información personal de los usuarios, incluyendo nombre completo, dirección de correo electrónico, la última dirección IP conocida y los últimos cuatro dígitos de su tarjeta de crédito, si el usuario había almacenado un método de pago en su cuenta. La compañía añadió que el hacker no tuvo acceso a contraseñas ni información completa de pago como direcciones de hogar y números completos de tarjetas de crédito.
Roll20 dijo que está notificando a los usuarios de la violación. Varios usuarios compartieron capturas de pantalla de la notificación por correo electrónico en las redes sociales. Un reportero de TechCrunch también recibió la misma notificación.
El portavoz de Roll20, Jayme Boucher, no respondió a una serie de preguntas de TechCrunch, incluyendo cuántos usuarios en total se vieron afectados, cuántos usuarios tuvieron los últimos cuatro dígitos de su tarjeta de crédito robados, cómo el hacker obtuvo acceso a la cuenta administrativa y si la compañía tiene información sobre quién o quiénes eran los hackers.
Roll20 afirma en su sitio web que tiene 12 millones de usuarios y que es «la elección número 1 para D&D en línea».
«Lamentamos sinceramente que este incidente haya ocurrido bajo nuestra supervisión. Aunque no tenemos evidencia de que los datos estén siendo mal utilizados, y no se expusieron contraseñas ni números de tarjetas, creemos en la importancia de ser transparentes con nuestros usuarios sobre cualquier exposición potencial de su información personal», dijo Boucher a TechCrunch en un correo electrónico. «Aún estamos investigando y no tenemos más detalles para compartir en este momento más allá de lo que compartimos en nuestra notificación por correo. Priorizamos ser tan transparentes como sea posible lo antes posible, y por eso notificamos a los usuarios hoy».
En 2019, TechCrunch informó que un hacker había robado más de 600 millones de registros de 24 sitios web, incluido Roll20. El hacker listó 4 millones de registros de la compañía en ese momento.
En resumen, la violación de datos sufrida por Roll20 ha sido un incidente lamentable que ha expuesto la información personal de algunos usuarios, aunque la compañía afirma que no se han encontrado evidencias de uso indebido de los datos expuestos. Roll20 está tomando medidas para investigar el incidente y notificar a los usuarios afectados, reafirmando su compromiso con la transparencia y la seguridad de la información de sus usuarios.