La violazione dei dati di Activision espone dipendenti e informazioni di gioco

La violazione dei dati di Dicembre 2022

Activision, un colosso dei videogiochi, è stato vittima di una violazione dei dati all'nei primi giorni del mese di dicembre del 2022. Gli hacker, che hanno ottenuto l'accesso ai sistemi interni dell'azienda ingannando un dipendente con un SMS di phishing, sono stati in grado di rubare documenti sensibili dell'azienda, incluse le informazioni dei dipendenti e le date di rilascio dei giochi fino al 17 novembre 2023.

Activision sostiene che non vi sia stato alcun accesso ai dati sensibili dei dipendenti, codici di gioco o dati dei giocatori e che l'incidente si sia risolto in breve tempo. Tuttavia, i ricercatori di sicurezza di vx-underground affermano che gli hacker abbiano ottenuto l'accesso all'account Slack di un dipendente di Activision il 2 dicembre e che abbiano tentato di indurre altri dipendenti a fare clic su collegamenti dannosi.

Di solito gli hacker prendono di mira particolari settori e professionisti in campi come la tecnologia e la sicurezza informatica. I dipendenti sono necessari per gli attacchi di ingegneria sociale e attacchi pianificati dai criminali informatici. Questi metodi comportano anche la pubblicità di strumenti particolari che i professionisti utilizzano e cercano di ottenere. Fai attenzione.

Sono trapelate le informazioni personali dei dipendenti

Sebbene Activision non abbia ancora informato i propri dipendenti della violazione dei dati, alcuni dei quali potrebbero aver subito il furto delle informazioni personali, vx-underground ha verificato la legittimità di tale atto. Secondo i ricercatori sulla sicurezza, le informazioni sui dipendenti acquisite includono nomi completi, e-mail e numeri di telefono aziendali, importi delle offerte di lavoro, luoghi di lavoro e tanto altro ancora.

Si dice che il furto fosse limitato al computer di un singolo dipendente, ma date le responsabilità assegnate a un dipendente delle risorse umane, il computer conteneva le informazioni di tutti i dipendenti di Activision. Tuttavia, l'azienda sostiene che nessun dato giocatore/utente sia stato compromesso.

La sicurezza dei nostri dati è fondamentale e disponiamo di protocolli di sicurezza delle informazioni completi per garantirne la riservatezza. Il 4 dicembre 2022, il nostro team per la sicurezza delle informazioni ha sventato un tentativo di phishing tramite SMS e lo ha risolto rapidamente. A seguito di un'indagine approfondita, abbiamo stabilito che non è stato effettuato l'accesso a dati sensibili dei dipendenti, codici di gioco o dati dei giocatori.

La violazione ha anche rivelato i piani per i prossimi DLC di Modern Warfare II, Call of Duty 2023 (nome in codice Jupiter) e Call of Duty 2024 (nome in codice Cerberus). Le informazioni trapelate erano basate su materiali di marketing e sull'ambiente di sviluppo non è stato colpito dalla violazione. Sebbene alcune delle informazioni ottenute da Activision possano essere obsolete ora, la violazione è ancora significativa poiché i dati dei dipendenti e i programmi di rilascio sono stati esposti.

Activision sostiene che i dati sensibili siano al sicuro

Activision ha sede in California, dove una legge sulla notifica delle violazioni dei dati richiede alle aziende di informare le vittime di violazioni dei dati quando sono coinvolti 500 o più residenti statali. La legge definisce “informazioni personali” i numeri di previdenza sociale, altre forme di identificazione come numeri di patente di guida, carte d'identità della California, numeri di identificazione fiscale, numeri di passaporto, numeri di identificazione militare o altri numeri di identificazione univoci emessi su un documento governativo comunemente utilizzato per verificare l'identità di un singolo individuo, dati sanitari e assicurativi, numeri di carte di credito e dati biometrici e genetici.

Il portavoce di Activision ha dichiarato che non ci sono obblighi per un'azienda di notificare quando non ci sono prove di accesso a dati sensibili. Tuttavia, dato che la violazione ha esposto le informazioni dei dipendenti, inclusi nomi e indirizzi e-mail aziendali, Activision potrebbe dover notificare la violazione ai suoi dipendenti e alle autorità legali. La società è anche in procinto di essere acquisita da Microsoft in un accordo del valore di 68,7 miliardi di dollari, il che potrebbe complicare ulteriormente le cose.

Activision deve ancora notificare ai propri dipendenti la violazione, il che potrebbe essere problematico se i loro dati fossero stati rubati. L'azienda potrebbe anche dover informare le autorità normative della violazione, dato che ha esposto le informazioni dei dipendenti. Tale violazione ricorda quanto sia importante dotarsi di misure di sicurezza informatica e quanto sia fondamentale per le aziende prendere sul serio le violazioni di questo genere.