Die beliebte Online-Plattform für Tisch- und Rollenspiele Roll20 gab am Mittwoch bekannt, dass es zu einem Datenverstoß gekommen sei, bei dem persönliche Daten einiger Benutzer offengelegt worden seien.
In einem auf der offiziellen Website veröffentlichten BeitragRoll20 gab an, dass es am 29. Juni festgestellt habe, dass sich ein „böswilliger Akteur“ eine Stunde lang Zugriff auf ein Konto auf der Verwaltungswebsite des Unternehmens verschafft habe. Danach habe das Unternehmen „alle unbefugten Zugriffe blockiert und die Netzwerkverletzung beendet“.
„Der Angreifer hat ein Benutzerkonto geändert und wir haben diese Änderungen umgehend rückgängig gemacht. Während dieser Zeit konnte der Angreifer auf alle Benutzerkonten zugreifen und diese einsehen“, schrieb das Unternehmen.
Laut Roll20 „konnte der Hacker möglicherweise persönliche Informationen von Benutzern einsehen“, darunter den vollständigen Namen, die E-Mail-Adresse, die letzte bekannte IP-Adresse und die letzten vier Ziffern ihrer Kreditkarte, sofern der Benutzer eine Zahlungsmethode auf seinem Konto gespeichert hatte. Das Unternehmen fügte hinzu, dass der Hacker keinen Zugriff auf Passwörter oder vollständige Zahlungsinformationen wie Privatadressen und vollständige Kreditkartennummern hatte.
Roll20 teilte mit, dass die Benutzer über den Verstoß benachrichtigt würden. Mehrere Benutzer geteilt Screenshots der E-Mail-Benachrichtigung in sozialen Medien. Ein Reporter von Tech erhielt ebenfalls die gleiche Benachrichtigung.
Roll20-Sprecher Jayme Boucher antwortete nicht auf eine Reihe von Fragen von Tech, darunter wie viele Benutzer insgesamt betroffen waren, bei wie vielen Benutzern die letzten vier Ziffern ihrer Kreditkarten gestohlen wurden, wie der Hacker Zugriff auf das Administratorkonto erhielt und ob das Unternehmen Informationen darüber hat, wer der oder die Hacker waren.
Roll20 gibt auf seiner Website an, 12 Millionen Benutzer zu haben und „die erste Wahl für D&D online“ zu sein.
„Wir bedauern zutiefst, dass sich dieser Vorfall unter unserer Aufsicht ereignet hat. Obwohl wir keine Beweise dafür haben, dass Daten missbraucht werden und weder Passwörter noch Kartennummern offengelegt wurden, halten wir es für wichtig, unseren Benutzern gegenüber transparent zu sein, wenn ihre persönlichen Daten offengelegt werden“, sagte Boucher in einer E-Mail an Tech. „Wir untersuchen den Vorfall noch und können derzeit keine weiteren Einzelheiten mitteilen, die über das hinausgehen, was wir in unserer E-Mail-Benachrichtigung mitgeteilt haben. Uns war es wichtig, so schnell wie möglich so transparent wie möglich zu sein, und deshalb haben wir die Benutzer heute benachrichtigt.“
Im Jahr 2019 berichtete Tech, dass ein Hacker mehr als 600 Millionen Datensätze von 24 Websites gestohlen hatte, darunter auch Roll20. Der Hacker listete damals 4 Millionen Datensätze des Unternehmens auf.