Fuga de dados na Activision expõe informações de funcionários e jogos

A fuga de dados ocorreu em dezembro de 2022

A Activision, uma gigante no mundo do desenvolvimento de videojogos, sofreu uma violação de dados no início de 2022. Os hackers, que obtiveram acesso aos sistemas internos da empresa ao enganar um funcionário com uma SMS de phishing, conseguiram retirar documentos profissionais sensíveis, incluindo informações dos funcionários e datas de lançamento de jogos até 17 de novembro de 2023.

A Activision afirma que os atacantes não tiveram acesso a dados pessoais dos funcionários, códigos de jogos ou dados de jogadores, e que o incidente foi resolvido rapidamente. No entanto, investigadores de segurança na vx-underground descobriram que os hackers conseguiram aceder à conta Slack de um dos funcionários da Activision a 2 de dezembro e que tentaram enganar outros funcionários, enviando links maliciosos.

Normalmente, os hackers atacam indústrias específicas e profissionais em setores como a tecnologia e cibersegurança. Os funcionários são alvos de ataques baseados em engenharia social, necessários para injetar malware e concretizar os planos dos cibercriminosos. Estes métodos envolvem até publicidade de determinadas ferramentas utilizadas e procuradas pelos profissionais. Mantenha-se atento.

Alegada fuga de dados pessoais de funcionários

Embora a Activision ainda não tenha informado os seus funcionários acerca da fuga de dados e potencial furto de informações pessoais, a vx-underground confirmou a legitimidade deste ataque. De acordo com os seus investigadores, a informação obtida inclui nomes completos, e-mails profissionais e números de telefone, salários, vagas de emprego, locais de trabalho e outros dados.

Aparentemente, o ataque limitou-se a um único computador, pertencente ao funcionário que foi vítima da tentativa de phishing. No entanto, considerando que estamos a falar de um funcionário responsável pelos recursos humanos da empresa, o computador em questão continha detalhes de todos os funcionários da Activision. A empresa afirma que os dados de jogadores/utilizadores não foram afetados.

A segurança dos nossos dados é prioridade e temos protocolos robustos para preservar a segurança da informação, garantindo a sua confidencialidade. No dia 4 de dezembro de 2022, a nossa equipa responsável pela segurança da informação respondeu rapidamente a uma tentativa de phishing por SMS e a situação foi resolvida imediatamente. Após uma investigação minuciosa, determinámos que os hackers não obtiveram acesso a quaisquer informações sensíveis de funcionários, códigos de jogos ou dados de jogadores.

A fuga de dados também revelou os planos para os próximos DLCs do Modern Warfare II, o novo Call of Duty para 2023 (nome de código “Jupiter”) e Call of Duty para 2024 (nome de código “Cerberus”). A informação divulgada baseou-se em material de marketing e o ambiente de desenvolvimento dos videojogos não foi afetado pela fuga de informação. Embora alguns dos dados obtidos da Activision já estejam desatualizados, a fuga ainda é significativa por ter exposto dados de funcionários e datas de lançamento de conteúdo.

A Activision afirma que os hackers não roubaram dados sensíveis

A Activision está sediada na Califórnia, onde existe uma lei referente à notificação de potenciais fugas de dados, que obriga as empresas a notificarem as vítimas de fugas de informação sempre que o ocorrido afete mais de 500 residentes. A lei define que “informação pessoal” engloba números da segurança social, outros documentos de identificação, tais como cartas de condução, documento de identidade da Califórnia, números de contribuinte, números de passaporte, números de identificação militar e quaisquer outros números únicos de identificação emitidos por entidades governamentais, utilizados para verificar a identidade de qualquer indivíduo específico, registos médicos ou dados de seguros de saúde, números de cartões de crédito e dados biométricos ou genéticos.

Um representante da Activision afirmou que a empresa não é obrigada a notificar os funcionários quando não existem provas de acesso não autorizado a dados sensíveis. No entanto, considerando que a fuga de dados divulgou informações dos funcionários, incluindo os seus nomes completos e e-mails profissionais, a Activision deve notificar os seus funcionários e entidades reguladoras do ataque. A Microsoft também está em processo de adquirir a empresa, num negócio avaliado em $68,7 biliões, o que pode complicar ainda mais a situação.

A Activision ainda não notificou os seus funcionários da fuga de informação, o que pode ser problemático, caso o roubo de dados seja confirmado. A empresa também deve notificar as respetivas entidades reguladoras, uma vez que o ataque expôs dados de funcionários. Este ataque é um lembrete da importância de medidas de cibersegurança, e de que as empresas devem manter-se constantemente alerta.