Nel dicembre 2018, il noto servizio di tabletop virtuale Roll20 ha subito una violazione dei dati che ha coinvolto circa 4 milioni di account utente. Le informazioni sottratte sono successivamente apparse in vendita nel dark web. L'azienda ha preso provvedimenti immediati, inclusa una disconnessione globale degli utenti, per mitigare i rischi. Dettagli dell'Incidente e Dati Coinvolti Roll20 ha confermato che l'accesso non autorizzato ai propri sistemi è avvenuto intorno al 26 dicembre 2018. Inizialmente, la data precisa era oggetto di indagine, ma è stata successivamente circoscritta. La quantità di dati esfiltrati è stata stimata intorno ai 700 MB. Le informazioni personali degli utenti compromesse includevano: • Indirizzo e-mail • Password (sottoposte ad hashing con l'algoritmo bcrypt, un sistema di crittografia robusto e non reversibile) • L'ultimo indirizzo IP di accesso e l'ora della connessione • Le ultime quattro cifre della carta di credito (per gli utenti che ne avevano memorizzata una) È importante sottolineare che le informazioni complete di fatturazione e pagamento non sono state compromesse. Questi dati sono gestiti esternamente da processori di pagamento sicuri come Stripe e PayPal e non transitano né vengono archiviati sui server di Roll20. Risposta di Roll20 e Raccomandazioni Una volta venuta a conoscenza della violazione, Roll20 ha intrapreso diverse azioni: • Ha effettuato un logout globale di tutti gli utenti come misura precauzionale. • Ha fortemente consigliato a tutti gli utenti di cambiare immediatamente la propria password, nonostante l'utilizzo di un sistema di hashing. • Ha avviato un'indagine interna e si è avvalsa di investigatori esterni (la società di cybersecurity Kroll) per determinare le modalità della violazione. • Ha lavorato per identificare e correggere le vulnerabilità che hanno permesso l'attacco. • Ha dichiarato di aver agito in conformità con i requisiti del GDPR (Regolamento Generale sulla Protezione dei Dati) e di aver informato le autorità competenti. Roll20 ha reso pubbliche queste informazioni attraverso il proprio blog e i forum della comunità a partire da febbraio 2019, dopo essere venuta a conoscenza della messa in vendita dei dati. Cosa Fare Anche se l'incidente risale al 2018 (magari starete leggendo questo articolo anni dopo!), è una buona prassi di sicurezza: • Se non lo si è fatto all'epoca, cambiare la password del proprio account Roll20, scegliendone una unica e complessa. • Utilizzare password diverse per siti web differenti. • Abilitare l'autenticazione a due fattori (2FA) su Roll20 e su qualsiasi altro servizio che la supporti, per un ulteriore livello di sicurezza. • Prestare attenzione a eventuali comunicazioni sospette che potrebbero sembrare provenire da Roll20. Roll20 ha confermato di aver implementato misure per rafforzare la sicurezza dei propri sistemi a seguito di questo incidente.
