Qualcuno ha abusato della funzione di ricerca amici di Rec Room per abbinare i numeri di telefono ai nomi utente di centinaia di migliaia di giocatori sulla piattaforma di social gaming, assemblando un database che collega le loro identità on-line direttamente alle informazioni di contatto nel mondo reale.
L’incidente, avvenuto a gennaio, non è stato precedentemente segnalato o riconosciuto pubblicamente se non in una breve risposta da parte di un membro dello workers di Rec Room a una domanda in un discussion board on-line. Ciò non è direttamente correlato al successivo annuncio secondo cui la società con sede a Seattle chiuderà la piattaforma di social gaming il 1° giugno, dopo 10 anni di attività.
Nei messaggi inviati a GeekWire, una persona a conoscenza dell’incidente ha espresso preoccupazione per il fatto che Rec Room non abbia mai avvisato in modo proattivo gli utenti i cui numeri di telefono e identità utente erano collegati tramite l’attacco di forza bruta, lasciandoli inconsapevoli della situazione e vulnerabili a molestie, phishing o altri attacchi, soprattutto quando la piattaforma si spegne.
Rispondendo alle nostre domande sull’incidente, la società ha riconosciuto di aver appreso a gennaio che un individuo stava eseguendo un quantity elevato di question sulla sua API di ricerca di amici. Dopo aver scoperto questo, la società ha detto di aver disabilitato la funzione e bannato l’utente.
Rec Room ha dichiarato di aver incaricato uno studio legale e forense esterno di condurre una revisione, che ha concluso che disabilitare l’API period sufficiente e non period richiesta alcuna notifica normativa. La funzione restituiva un nome utente solo se abbinato a un numero di telefono o e-mail, ha affermato Rec Room, e non esponeva informazioni o credenziali aggiuntive sull’account.
“Prendiamo sul serio la sicurezza degli utenti e disponiamo di solide misure per proteggere i dati degli utenti”, ha affermato un portavoce di Rec Room in una dichiarazione di follow-up, aggiungendo che la società “ha esaminato le nostre impostazioni sulla privateness e ha confermato che funzionano come previsto”.
Quello che è successo: L’incidente non ha comportato l’irruzione dei server di Rec Room o l’accesso diretto al suo database da parte di qualcuno.
Invece, ciò è avvenuto attraverso la funzione di ricerca amici della piattaforma, che consente ai giocatori di caricare i propri contatti telefonici per vedere quali dei loro amici erano già sulla piattaforma. Dietro le quinte, il sistema accettava un numero di telefono e restituiva un nome utente di Rec Room in caso di corrispondenza.
La funzionalità è stata progettata per i singoli utenti che controllano i propri contatti personali. Tuttavia, il sistema non disponeva di garanzie evidenti per impedire a qualcuno di interrogarlo su larga scala.
Questo è quello che è successo a gennaio, secondo chi è a conoscenza della questione. Qualcuno ha sistematicamente inserito nel sistema tutti i numeri di telefono statunitensi e canadesi, raccogliendo ogni risposta. Il risultato, ha detto la persona, è stato un database di quasi 279.000 file.
Il database è stato successivamente venduto advert altri, secondo la persona a conoscenza dell’incidente, che ha affermato che il sistema utilizzato per distribuirlo non period di per sé sicuro, rendendolo potenzialmente accessibile a un pubblico più ampio.
La risposta di Rec Room: Alla domanda sulla dimensione del database, Rec Room ha affermato di non riconoscere il numero fornito dalla fonte, ma di non offrire il proprio conteggio degli utenti interessati. Senza ulteriori informazioni, non è chiaro se la società abbia determinato la dimensione del database assemblato o l’intera portata dell’incidente.
Rec Room ha affermato che nessun numero di telefono o e-mail è stato acquisito direttamente dall’azienda.
Rispondere a una domanda dell’utente sull’incidente nel server Discord dell’azienda il 19 febbraioun membro dello workers di Rec Room ha affermato che la piattaforma aveva precedentemente consentito agli utenti di trovare amici cercando nei loro contatti e che alcuni utenti stavano “abusando di questa funzionalità su larga scala”.
Il messaggio diceva che la funzione period stata disabilitata “per estrema cautela”.
Perché è importante adesso: La società non ha informato in modo proattivo gli utenti interessati. Rec Room ha affermato che il suo group di supporto ha risposto ai giocatori che hanno contattato l’azienda dopo aver ricevuto messaggi non richiesti apparentemente collegati al database assemblato.
Con la chiusura della piattaforma prevista per il 1 giugno, la finestra per la notifica proattiva si sta chiudendo. Dopo story information, Rec Room non avrà più un canale in-app per raggiungere i propri giocatori.
La stessa chiusura di Rec Room potrebbe aumentare il rischio. Un utente malintenzionato con il database potrebbe utilizzare la chiusura per creare messaggi di phishing convincenti, advert esempio un messaggio di testo o un’e-mail che si spaccia per Rec Room e invita i giocatori a fare clic su un collegamento per esportare i propri dati prima che la piattaforma si oscuri. L’arresto darebbe a story messaggio una plausibilità intrinseca.
I numeri di telefono possono essere utilizzati anche per trovare nomi reali e indirizzi di casa attraverso registri disponibili al pubblico o per tentare lo scambio di SIM, in cui un utente malintenzionato si appropria del numero di telefono della vittima per intercettare chiamate, messaggi di testo e codici di autenticazione. Gli utenti possono bloccare il proprio numero di telefono tramite l’app o il sito Net del proprio operatore wi-fi, in genere con un PIN, per evitare ciò.
Impostazioni sulla privateness: Un problema controverso riguarda le impostazioni sulla privateness di Rec Room. La piattaforma offriva agli utenti la possibilità di impedire advert altri di trovarli tramite numero di telefono o indirizzo e-mail.
Ma la persona a conoscenza dell’incidente ha affermato che l’impostazione non proteggeva dal tipo di question di massa utilizzate nell’attacco. Questa persona ha affermato che i propri dati sono apparsi nel database nonostante l’impostazione fosse disattivata e ha fornito uno screenshot a sostegno di story affermazione.
(La persona ha rifiutato di essere identificata, citando la preoccupazione che la pubblicazione del proprio nome potesse consentire a qualcuno di utilizzare i dati per collegare la propria identità al proprio indirizzo di casa e advert altri dettagli personali utilizzando registri pubblici.)
Alla domanda sull’impostazione della privateness, Rec Room ha affermato di aver verificato che funzionasse come previsto.
Precedenti storici: Non è la prima volta che una piattaforma social si trova advert affrontare questo tipo di incidenti.
Nel 2014, un aggressore utilizzato lo stesso approccio contro la funzione di ricerca amici di Snapchat, abbinando nomi utente a 4,6 milioni di numeri di telefono. Snapchat è stato criticato per aver inizialmente ignorato la vulnerabilità e ha impiegato più di una settimana per scusarsi, ma in seguito ha riconosciuto la violazione, ha aggiornato la sua app e ha consentito agli utenti di disattivare la funzionalità.
Nel 2021 è stata utilizzata una tecnica simile assemblare un database di numeri di telefono e informazioni personali di oltre 530 milioni di utenti Fb. Fb ha affermato di aver corretto il difetto sottostante nel 2019, ma ha rifiutato di avvisare individualmente gli utenti interessati, affermando che non poteva essere certo di quali utenti necessitassero di essere avvisati.
L’approccio di Rec Room somiglia di più a quello di Fb: sostenere che l’incidente non ha creato un rischio per la sicurezza o la privateness e che nessun dato degli utenti è stato acquisito dai suoi sistemi.
Base utenti di Rec Room: Rec Room ha attirato più di 150 milioni di giocatori a vita su telefoni, console, PC e visori VR, con milioni ancora attivi ogni mese prima dell’annuncio della chiusura.
Il CEO di Rec Room, Nick Fajt ha detto al Wall Street Journal nel 2021 che la maggior parte degli utenti della piattaforma aveva un’età compresa tra 13 e 16 anni, il che significa che molti dei numeri di telefono nel database assemblato apparterrebbero a minori o ai loro genitori.
Il percorso dell’azienda: Rec Room è stata lanciata nel 2016 come piattaforma per costruire e condividere mondi virtuali. Fondata da un gruppo di ex ingegneri Microsoft, la società ha raccolto 294 milioni di dollari in finanziamenti di enterprise capital nel corso della sua vita ed è stata valutata 3,5 miliardi di dollari al suo apice nel 2021.
Ma non ha mai trovato il modo di diventare redditizia, tagliando il personale in due tornate di licenziamenti lo scorso anno.
La persona a conoscenza della questione ha affermato che i licenziamenti dello scorso anno hanno avuto un impatto significativo sul group di sicurezza informatica dell’azienda. Anche l’azienda ha sospeso il suo programma di ricompensa dei bug sulla piattaforma di sicurezza Bugcrowd il 10 febbraio, bloccando nuove segnalazioni di vulnerabilità. Il programma non è stato riaperto.
Dopo l’annuncio della chiusura di marzo, Snap ha acquisito risorse selezionate da Rec Room e alcuni membri del group si sono uniti alla filiale {hardware} della società madre Snapchat per lavorare sugli occhiali per realtà aumentata Specs. Non è chiaro se qualcuno sia stato influenzato dai tagli di Snap della scorsa settimana.
Cosa sapere: Gli utenti di Rec Room che hanno collegato un numero di telefono al proprio account devono essere consapevoli che il loro numero potrebbe essere stato collegato al proprio nome utente nel database assemblato.
Gli utenti dovrebbero essere scettici nei confronti di eventuali messaggi di testo o e-mail non richiesti relativi a Rec Room o all’imminente chiusura, in particolare i messaggi che li esortano a fare clic sui collegamenti.
Con la chiusura della piattaforma tra meno di sette settimane, la persona a conoscenza dell’incidente ha affermato che spera che portare l’attenzione del pubblico sul problema aiuterà gli utenti a essere attenti ai rischi.
