Am 4. Dezember haben Hacker einen Mitarbeiter des Spielegiganten Activision erfolgreich per Phishing gehackt und ihm Zugriff auf einige interne Mitarbeiter- und Spieldaten verschafft.
Diese Datenschutzverletzung wurde erst am vergangenen Wochenende bekannt, als die Cybersicherheits- und Malware-Forschungsgruppe vx-underground auf Twitter gepostet Screenshots der gestohlenen Daten sowie die Nachrichten der Hacker auf Activisions internem Slack-Kanal.
Aber die Öffentlichkeit war nicht die einzige, die von der Nachricht über den Bruch überrascht wurde. Laut zwei aktuellen Activision-Mitarbeitern, die unter der Bedingung der Anonymität sprachen, da sie nicht mit der Presse sprechen durften, muss Activision seine eigenen Mitarbeiter noch über die Datenschutzverletzung informieren und ob ihre Daten gestohlen wurden.
„Das ist ein Problem. Wenn es um Mitarbeiterinformationen geht, hätten sie den Verstoß offenlegen sollen“, sagte einer der Mitarbeiter gegenüber Tech.
Activision-Sprecher Joseph Christinat antwortete nicht auf eine Bitte um Stellungnahme.
Als Reaktion auf die Nachricht von der Verletzung hatte Christinat zuvor eine Erklärung geteilt, in der es hieß, Activision habe „schnell“ auf einen SMS-Phishing-Versuch reagiert und „es schnell gelöst“. Laut der Erklärung hat das Unternehmen „festgestellt, dass auf keine sensiblen Mitarbeiterdaten, Spielcodes oder Spielerdaten zugegriffen wurde“.
Der oder die Hacker konnten auf eine Reihe von Tabellenkalkulationen zugreifen, die laut einer Kopie der gestohlenen Daten Mitarbeiterdaten wie vollständige Namen, einige Telefonnummern, Firmen-E-Mail-Adressen und in einigen Fällen die Büros enthielten, in denen sie arbeiten vx-underground gemeinsam mit Tech.
Activision, das Haushaltsspiele wie veröffentlicht Ruf der Pflicht Und World of Warcraft wird derzeit von Microsoft im Wert von 68,7 Milliarden US-Dollar übernommen. Aufsichtsbehörden in den USA, die europäische Unionund das Vereinigte Königreich haben sich dem Deal widersetzt.
Activision, dem auch Blizzard gehört, hat seinen Hauptsitz in Kalifornien. Der Staat hat ein Gesetz zur Meldung von Datenschutzverletzungen die Unternehmen verpflichtet, Opfer von Datenschutzverletzungen zu benachrichtigen, wenn 500 oder mehr Einwohner des Bundesstaates betroffen sind, und Mandate dass „die Offenlegung so schnell wie möglich und ohne unangemessene Verzögerung erfolgen muss, im Einklang mit den legitimen Bedürfnissen der Strafverfolgung.“
Das Gesetz definiert „persönliche Daten“ so, dass sie Folgendes umfassen: Sozialversicherungsnummern, andere Arten von Ausweisen wie Führerscheinnummern, kalifornische Personalausweise, „Steueridentifikationsnummern, Reisepassnummern, militärische Identifikationsnummern oder andere eindeutige Identifikationsnummern, die auf einem amtlichen Dokument ausgestellt werden üblicherweise verwendet, um die Identität einer bestimmten Person zu überprüfen;“ Kranken- und Krankenkassendaten, Kreditkartennummern, biometrische und genetische Daten.
Haben Sie weitere Informationen zu dieser Datenschutzverletzung? Wir würden uns freuen, von Ihnen zu hören. Von einem nicht funktionierenden Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.