Roblox-maker treedt naar buiten over datalek nadat Troy Hunt erover tweet

De Roblox Corporation treedt naar buiten over een hack uit 2021 waarbij persoonsgegevens van zo'n 4000 deelnemers van de Roblox Developer Conference op straat kwamen te liggen. De bekendmaking kwam nadat securitydeskundige Troy Hunt er aandacht aan besteedde.

Het is niet bekend of de Roblox Corporation op de hoogte was van de hack voordat Troy Hunt, bekend van HaveIbeenPwned.com, er aandacht aan besteedde. Volgens de tips die Hunt binnenkreeg, gaat het om de deelnemers van de Roblox Developer Conference in de jaargangen 2017 tot en met 2020. In 2021 zou de dataset op een forum gepost zijn, maar niet veel aandacht getrokken hebben. Het lijkt erop dat de data recentelijk opnieuw is gepost en nu meer aandacht krijgt. Hoe de data is bemachtigd, is niet bekend.

Troy Hunt wijdde er op 18 juli enkele tweets aan, waarin hij om meer informatie vroeg van potentiële tipgevers. Die informatie kreeg hij en inmiddels heeft de Roblox Corporation de getroffen personen op de hoogte gesteld.

Volgens Hunts tweets bevat de dataset namen, geboortedata, e-mailadressen, telefoonnummers, adressen en ip-adressen. Van sommigen is zelfs de t-shirtmaat inbegrepen. Blijkbaar gaan er twee e-mailsoorten rond van Roblox, op basis van hoeveel informatie van een persoon op straat ligt. Als het om alleen het e-mailadres gaat, krijgen ze een kortere e-mail waarin naast de bekendmaking staat dat Roblox 'stappen zet om ervoor te zorgen dat dit soort incidenten vermeden worden in de toekomst'. Mocht het gaan om meer data, dan wordt 'uit een overvloed aan voorzichtigheid' een 'jaarabonnement op een identiteitsbeschermingstool' aangeboden.

Roblox is een videogame waarin spelers zelf games kunnen ontwikkelen. Binnen hun games kunnen ook microtranscaties plaatsvinden, waarvan de makers een percentage krijgen. De game is erg populair onder jonge kinderen en volgens Statistia heeft het meer dan 60 miljoen dagelijks actieve spelers.

Roblox hack disclosureRoblox hack disclosure

Door Mark Hendrikman

Redacteur

Feedback • 20-07-2023 21:27 27

20-07-2023 • 21:27

27

Lees meer

Roblox

geen prijs bekend

Discord-concurrent Guilded verplicht gebruikers om Roblox-account te linken
Discord-concurrent Guilded verplicht gebruikers om Roblox-account te linken Nieuws van 1 juni 2024
Roblox brengt automatische realtime chatvertaling uit
Roblox brengt automatische realtime chatvertaling uit Nieuws van 6 februari 2024
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records
Cybersecurityonderzoekers ontdekken dataset met 26 miljard uitgelekte records Nieuws van 22 januari 2024
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset
Have I Been Pwned ontdekt 70 miljoen gestolen inloggegevens in enkele dataset Nieuws van 18 januari 2024
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval
Moederbedrijf Vans, The North Face en Timberland meldt datalek na cyberaanval Nieuws van 18 december 2023
Roblox komt op 10 oktober naar PlayStation 4 en 5
Roblox komt op 10 oktober naar PlayStation 4 en 5 Nieuws van 15 september 2023
Roblox krijgt motioncapturechat en komt in oktober uit voor PlayStation 4 en 5
Roblox krijgt motioncapturechat en komt in oktober uit voor PlayStation 4 en 5 Nieuws van 8 september 2023
Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoekers
Bioscoopketen Vue lekt privégegevens en bankrekeningnummers van bezoekers Nieuws van 25 augustus 2023
Noord-Ierse politie deelt per ongeluk namen en werklocaties van alle medewerkers
Noord-Ierse politie deelt per ongeluk namen en werklocaties van alle medewerkers Nieuws van 9 augustus 2023
Roblox is binnen 5 dagen 'ruim' 1 miljoen keer gedownload op Quest-headsets
Roblox is binnen 5 dagen 'ruim' 1 miljoen keer gedownload op Quest-headsets Nieuws van 2 augustus 2023
Meta kondigt Roblox aan voor Quest-headsets
Meta kondigt Roblox aan voor Quest-headsets Nieuws van 13 juli 2023
Google haalt Roblox-extensie SearchBlox offline wegens malware
Google haalt Roblox-extensie SearchBlox offline wegens malware Nieuws van 25 november 2022
Roblox klaagt populaire YouTuber aan voor terroriseren gameplatform
Roblox klaagt populaire YouTuber aan voor terroriseren gameplatform Nieuws van 25 november 2021
Gameplatform Roblox is na storing van drie dagen weer online, oorzaak was 'bug'
Gameplatform Roblox is na storing van drie dagen weer online, oorzaak was 'bug' Nieuws van 1 november 2021
Zeer populaire online game Roblox heeft sinds donderdag storing
Zeer populaire online game Roblox heeft sinds donderdag storing Nieuws van 31 oktober 2021
Meer producten en artikelen
Games Networking en security Hack

Reacties (27)

-Moderatie-faq
27
24
15
1
0
7
Wijzig sortering
kodak
20 juli 2023 21:57
Het is weer het typische beweren dat beveiliging heeeel belangrijk voor het bedrijf is, terwijl ze geen enkel bewijs leveren en uit het lek juist blijkt dat hun beveiliging onvoldoende was. Dan kun je de slachtoffers wel gaan duwen om hun persoonsgegevens 'gratis' ter bescherming met een andere commerciele dienst te gaan delen, maar dan lijken ze meer bezig de slachtoffers als product te zien. Voor beveiliging is transparantie nodig. Bedrijven die geen moeite doen om te tonen waaruit ze beveiliging serieus nemen kunnen maar beter vermeden worden.
Coolstart @kodak20 juli 2023 22:56
We moeten werk maken van een Europese wetgeving die bedrijven boven een bepaalde omzet en gebruikersaantal verplicht te laten screenen op beveiliging. Je kan perfect normen opleggen een een verplichte audit. GDPR dekt dat een deel maar zeker niet alles.

Ik werk in de medische sector en daar wordt de regulering en beveiliging heel serieus genomen zodra je een medische service of device hebt. EU MDR. Audits zijn daar standaard. 90% is medisch maar ook hoe je persoonsgegevens beveiligd. Wat dat laatste betreft kan je uitbreiden op de GDPR.

Het aantal bedrijven waarvan data gestolen wordt blijft gigantisch. Gemeenten, advocatenkantoren, webshops etc. Er lijkt geen einde aan te komen.
Guru Evi @Coolstart21 juli 2023 00:24
Maar zoals we onlangs gezien hebben bij MoveIT, een audit een paar maand geleden door een grote firma zoals PWC en E&Y is het papier waarop het geschreven is niet waard.

Ik heb ook al ‘deelgenomen’ in die audits, het is een grap wat ze doen, je moet zelf aangeven wie de ‘stake holders’ zijn en dan krijg je een questionnaire, daarna krijg je een rapport waar eigenlijk tweemaal niets instaat, de resultaten van de questionnaire, en een brochure voor de diensten en producten die ze verder aanbevelen, vooral geen technische zaken want niemand vraagt om de technische problemen en als je ze met de auditor aankaart staan ze te kijken alsof je Chinees spreekt, en alles technisch is ‘out of scope’

Als een auditor ooit een technische persoon aanneemt om die audits te doen, dan zal er iets veranderen, het zijn dure grapjassen, verkopers die uren verspillen om dan een paar doosjes aan te vinken. Maar een ontbijt en lunch verzorgen voor een halve dag vergaderen, daar zijn ze wel goed in, altijd de beste restaurants, altijd de beste broodjes.

En wat doet GDPR eraan? Toch ook tweemaal niets, hier is een boete voor 0,001% van je maandelijks Europees inkomen (Amazon, Microsoft) of we betalen niet want we zijn geen Europees bedrijf (Meta, TikTok, Twitter, Clearview). Roblox is dan ook Amerikaans maar ook eigendom van Tencent, een Chinees staatsbedrijf, zal hun een reet schelen wat de “domme Europeanen” hierover zeggen.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 15:20]

Neo_TGP @Guru Evi21 juli 2023 08:25
Ik heb dagelijks te maken met audits en het is maar net wie je treft en waar de audit voor is. Wat jij omschrijft is over het algemeen een assessment of een scan. En dat vind ik vaak eerder een betaald verkooppraatje dan dat je er echt wat aan hebt.

NIS2 en de het aansprakelijk maken van de bestuurder van een organisatie gaan zeker wel helpen. Maar we hebben nog een lange weg te gaan..
kodak
@Guru Evi21 juli 2023 09:23
Je lijkt daarmee juist te noemen waarom wettelijke eisen kunnen helpen. Zonder eisen krijg je niet zomaar redelijke controle. Er zijn gewoon eisen te stellen aan de inhoud, werkwijze en toezicht op controles.
Auxority @Guru Evi21 juli 2023 07:53
Ik ben benieuwd waar je hebt gelezen dat Roblox nu eigendom is van Tencent. Dat kan ik nergens terugvinden, wel dat ze in 2019 hebben samengewerkt voor de Chinese markt.

EDIT: My bad

[Reactie gewijzigd door Auxority op 22 juli 2024 15:20]

Toweliieee @Auxority21 juli 2023 08:53
Ik weet niet wat je hebt gezocht maar in één google search "is roblox owned by tencent" krijg ik dit al te zien:
"Background and founding. The partnership with Tencent, that began in 2019, is centered on a joint venture in which Roblox owns a 51 percent controlling stake and Songhua, a Tencent affiliate, owns a 49 percent stake."
Auxority @Toweliieee21 juli 2023 19:19
Oh, goed om te weten. Dat nieuws had ik nooit meegekregen. Dankje!

Ik lees wel dat "Roblox China" sinds 13 juli 2021 discontinued is.
https://roblox.fandom.com/wiki/Luobu
https://techcrunch.com/20...-china-luobulesi-tencent/

Dus ik weet niet of dat percentage in de tussentijd verandert is, of dat het alleen voor "Roblox China" was, of dat het wel up to date is.

[Reactie gewijzigd door Auxority op 22 juli 2024 15:20]

GekkePrutser @Coolstart20 juli 2023 23:59
Daar wordt ook aan gewerkt. Frankrijk heeft zoiets zelfs al. Beursgenoteerde Franse bedrijven moeten zich laten controleren door de ANSSI.

Op EU niveau is het gewoon wat lastiger omdat iedereen er overheen moet pissen en sommige landen nu met alles dwarsliggen alleen maar om dwars te liggen (Hongarije bijv.).

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:20]

MrMonkE @GekkePrutser21 juli 2023 07:56
Laat die Hongaren lekker stikken en maak het een verdrag buiten de EU om.
bzzzt @Coolstart21 juli 2023 08:56
Je kan perfect normen opleggen een een verplichte audit. GDPR dekt dat een deel maar zeker niet alles.
Maar daar zit het probleem toch gewoon: er is geen enkele norm die een 100% dekkende garantie tegen datalekken biedt. Je kan de kans hooguit wat verminderen.
kodak
@bzzzt21 juli 2023 09:30
Als je nu op geen enkele manier te horen krijgt of ze eisen aan beveiliging gesteld hebben, of ze controles gedaan hebben, of ze van dit lek wisten enz, dan lijkt alle poging tot verlagen van kans redelijker dan er vanuit gaan dat ze vast wel iets gedaan hadden om het lekken te voorkomen.
bzzzt @kodak21 juli 2023 09:56
Klopt, maar het gaat in het artikel over een lijst van 4000 personen. Als je die al als 'fort Knox' moet beveiligen inclusief alle papieren rompslomp denk ik dat we tijd, geld en mankracht tekort komen om ooit nog iets nuttigs met al onze informatie tech te doen. Er is ook nog iets als 'werkbaarheid'.

In zo'n extreem scenario wordt het natuurlijk verboden om dit soort lijsten in je computer in te voeren tenzij je bewijsbaar aan de normen voldoet. Kan iemand me vertellen waar ik een GDPR vergunning voor mijn telefooncontacten moet aanvragen?
kodak
@bzzzt21 juli 2023 09:59
Het aantal zegt niets over de genomen maatregelen. En aangezien er geen enkel bewijs is dat ze beveiliging heeeeel belangrijk vinden lijkt het me dus redelijker om ook niet te doen alsof je er vanuit kan gaan dat ze dat wel gedaan hebben.
bzzzt @kodak21 juli 2023 10:04
Maakt het voor jou verschil of je data lekt van een gecertificeerd bedrijf of een ongecertificeerd bedrijf?
Is er bewijs dat er minder gelekt wordt door gecertificeerde bedrijven?
kodak
@bzzzt21 juli 2023 10:54
Het verschil zit wat mij betreft in transparant zijn wat ze doen en laten. Ik zie op dit moment helemaal niet waarop ze beveiliging baseren en wat dat wel en niet als inhoud heeft.
MneoreJ @kodak20 juli 2023 22:04
Dan kun je de slachtoffers wel gaan duwen om hun persoonsgegevens 'gratis' ter bescherming met een andere commerciele dienst te gaan delen, maar dan lijken ze meer bezig de slachtoffers als product te zien.
"Het spijt ons heel erg dat we uw kalf verdronken hebben. Ter compensatie bieden wij u aan om geheel gratis uw put te komen dempen." :P
NmidnetS 20 juli 2023 21:34
Pijnlijk, als ze het niet wisten. Maar nog pijnlijker als ze het wel wisten maar niks hebben gezegd.
Polderviking @NmidnetS20 juli 2023 23:54
Waarom is niet weten perse pijnlijk?

Als een medewerker data heeft gelekt ofzo zou ik niet weten hoe je dat moet ruiken als je er verder niet op wordt gewezen.
GekkePrutser @Polderviking20 juli 2023 23:58
Volgens een artikel gaat het om een hack, daarom is het pijnlijk dat ze het niet wisten.

Vaak ben je niet op tijd om er achter te komen maar als een hacker 2 jaar geleden in je systeem gezeten hebt en je bent er nooit achter gekomen, dan ben je als bedrijf niet goed bezig natuurlijk.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 15:20]

vgroenewold @GekkePrutser21 juli 2023 06:29
Maar een goede hack laat geen sporen na lijkt me, als dan niemand op de werkvloer zoiets opmerkt of doorgeeft, dan is het wel lastig daar wat aan te doen.
Polderviking @GekkePrutser21 juli 2023 08:48
Als een hacker bij je binnen is geweest krijg je niet een email notificatie ofzo.
Pas als ze luidruchtig worden kan je wat zien.
Maar dat hangt er toch wel sterk van af hoe e.e.a. plaats heeft gevonden.
ReVision. @NmidnetS20 juli 2023 21:40
Zal me niets verbazen als ze het al lang wisten, maar gewoon opzettelijk hebben verborgen.
Roblox Corperation is sowieso een hele trieste organisatie, voor wat meer achtergrond informatie hier wat interessant kijkvoer van People Make Games over de exploitatie van kinderen door Roblox Corp.

https://www.youtube.com/watch?v=_gXlauRB1EQ
https://www.youtube.com/watch?v=vTMF6xEiAaY
PommeFritz 20 juli 2023 21:59
Sorry we got found out!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq