Roblox a annoncé à la fin de la semaine dernière avoir subi une violation de données affectant les participants aux conférences des développeurs Roblox 2022, 2023 et 2024.

Roblox est une plateforme de création et de jeu en ligne populaire auprès des jeunes publics qui conçoivent, créent et partagent des jeux avec une large communauté de plus de 200 millions d'utilisateurs actifs.

L'entreprise organise un événement annuel Roblox Developer Conference (RDC) qui aide les développeurs à réseauter, à apprendre et à partager leurs connaissances avec d'autres via des ateliers et des présentations de nouveaux outils.

La plateforme de jeu a récemment appris que FNTech, le fournisseur gérant le processus d'inscription pour ces événements de conférence, avait été piraté, quelqu'un ayant obtenu un accès non autorisé à ses systèmes.

« Un fournisseur Roblox nous a récemment informés qu'il y avait eu un accès non autorisé à un sous-ensemble d'informations sur les utilisateurs Roblox à partir d'une liste d'inscription à la conférence des développeurs Roblox 2022-2024 via son site Web », peut-on lire. avis publié sur X.

Les données volées dans les systèmes de FNTech comprennent les noms complets, les adresses e-mail et les adresses IP des participants à la conférence.

La violation a également été ajoutée au service de notification de violation de données Ai-je été pwned (HIBP), qui rapporte que 10 386 adresses e-mail uniques sont incluses dans l'ensemble exposé. HIBP indique que 63 % (6 500) des adresses e-mail compromises sont nouvelles (non exposées auparavant).

Dans le même ordre d'idées, en juillet 2023, HIBP a ajouté près de 4 000 comptes de développeurs Roblox qui étaient, encore une fois, des participants au RDC et dont les données étaient divulgué sur un forum de hackers. Cependant, cet ensemble semble provenir d'une violation plus ancienne de 2021, exposant les participants au RDC entre 2017 et 2020.

Bien que la dernière violation de données ne mette pas immédiatement en danger les développeurs Roblox concernés, les informations exposées augmentent le potentiel d'attaques de phishing ciblées.

Roblox conclut sa déclaration en disant qu'il a pris des mesures pour garantir qu'une exposition similaire des données ne se reproduise pas à l'avenir.

En raison de la taille de sa communauté et de son activité économique dynamique, Roblox et ses utilisateurs ont été ciblés par des pirates informatiques à plusieurs reprises dans le passé.

En novembre 2022, plus de 200 000 utilisateurs ont installé une extension Chrome malveillante nommée SearchBlox, qui contenait un code de vol d'informations d'identification pour les comptes Roblox.