Nel dicembre 2018, il noto servizio di tabletop virtuale Roll20 ha subito una violazione dei dati che ha coinvolto circa 4 milioni di account utente. Le informazioni sottratte sono successivamente apparse in vendita nel dark web. L'azienda ha preso provvedimenti immediati, inclusa una disconnessione globale degli utenti, per mitigare i rischi.
Dettagli dell'Incidente e Dati Coinvolti
Roll20 ha confermato che l'accesso non autorizzato ai propri sistemi è avvenuto intorno al 26 dicembre 2018. Inizialmente, la data precisa era oggetto di indagine, ma è stata successivamente circoscritta. La quantità di dati esfiltrati è stata stimata intorno ai 700 MB.
Le informazioni personali degli utenti compromesse includevano:
• Indirizzo e-mail
• Password (sottoposte ad hashing con l'algoritmo bcrypt, un sistema di crittografia robusto e non reversibile)
• L'ultimo indirizzo IP di accesso e l'ora della connessione
• Le ultime quattro cifre della carta di credito (per gli utenti che ne avevano memorizzata una)
È importante sottolineare che le informazioni complete di fatturazione e pagamento non sono state compromesse. Questi dati sono gestiti esternamente da processori di pagamento sicuri come Stripe e PayPal e non transitano né vengono archiviati sui server di Roll20.
Risposta di Roll20 e Raccomandazioni
Una volta venuta a conoscenza della violazione, Roll20 ha intrapreso diverse azioni:
• Ha effettuato un logout globale di tutti gli utenti come misura precauzionale.
• Ha fortemente consigliato a tutti gli utenti di cambiare immediatamente la propria password, nonostante l'utilizzo di un sistema di hashing.
• Ha avviato un'indagine interna e si è avvalsa di investigatori esterni (la società di cybersecurity Kroll) per determinare le modalità della violazione.
• Ha lavorato per identificare e correggere le vulnerabilità che hanno permesso l'attacco.
• Ha dichiarato di aver agito in conformità con i requisiti del GDPR (Regolamento Generale sulla Protezione dei Dati) e di aver informato le autorità competenti.
Roll20 ha reso pubbliche queste informazioni attraverso il proprio blog e i forum della comunità a partire da febbraio 2019, dopo essere venuta a conoscenza della messa in vendita dei dati.
Cosa Fare
Anche se l'incidente risale al 2018 (magari starete leggendo questo articolo anni dopo!), è una buona prassi di sicurezza:
• Se non lo si è fatto all'epoca, cambiare la password del proprio account Roll20, scegliendone una unica e complessa.
• Utilizzare password diverse per siti web differenti.
• Abilitare l'autenticazione a due fattori (2FA) su Roll20 e su qualsiasi altro servizio che la supporti, per un ulteriore livello di sicurezza.
• Prestare attenzione a eventuali comunicazioni sospette che potrebbero sembrare provenire da Roll20.
Roll20 ha confermato di aver implementato misure per rafforzare la sicurezza dei propri sistemi a seguito di questo incidente.
I dati del 
