Alguien abusó de la función de búsqueda de amigos de Rec Room para hacer coincidir números de teléfono con los nombres de usuario de cientos de miles de jugadores en la plataforma de juegos sociales; creó una base de datos que vinculaba las identidades en línea de estas personas directamente con su información de contacto en el mundo real.
El incidente, que ocurrió en enero, no fue reportado ni divulgado públicamente anteriormente, excepto por una breve respuesta de un empleado de Rec Room a una pregunta en un foro en línea. Esto no está directamente relacionado con el anuncio posterior de la empresa con sede en Seattle. cerrará la plataforma de juegos sociales 1 de junio, después de 10 años de actividad.
En mensajes enviados a GeekWire, una persona familiarizada con el incidente expresó su preocupación de que Rec Room nunca notificó de manera proactiva a los usuarios cuyos números de teléfono e ID de usuario estaban vinculados al ataque de fuerza bruta, dejando a esos usuarios inconscientes de la situación y vulnerables al acoso, phishing u otros ataques, especialmente cuando la plataforma cayó.
Respondiendo a nuestras preguntas sobre el incidente, la compañía confirmó que se enteró de que una persona estaba realizando un gran volumen de consultas contra la API de búsqueda de amigos en enero. Después de descubrir esto, la compañía dijo que deshabilitó la función y prohibió al usuario.
Rec Room dijo que contrató a una firma legal y forense externa para realizar una investigación, que concluyó que deshabilitar la API era suficiente y no se requería ningún aviso regulatorio. Rec Room dijo que la función solo devuelve un nombre de usuario cuando se combina con un número de teléfono o correo electrónico y no revela información o credenciales adicionales de la cuenta.
“Nos tomamos en serio la seguridad del usuario y contamos con fuertes medidas de seguridad para proteger los datos del usuario”, dijo un portavoz de Rec Room en una declaración de seguimiento, y agregó que la compañía había “revisado nuestra configuración de privacidad y confirmado que están funcionando según lo previsto”.
Qué pasó: El incidente no implicó que alguien pirateara los servidores de Rec Room ni accediera directamente a su base de datos.
En cambio, sucedió a través de la función de búsqueda de amigos de la plataforma, que permite a los jugadores cargar sus contactos telefónicos para ver cuáles de sus amigos ya están en la plataforma. Básicamente, el sistema aceptaba un número de teléfono y devolvía un nombre de usuario de Rec Room si había una coincidencia.
Esta función está diseñada para que los usuarios individuales controlen sus contactos personales. Pero el sistema no tenía protecciones aparentes para evitar que alguien lo interrogara a gran escala.
Eso es lo que ocurrió en enero, según una persona familiarizada con el asunto. Alguien revisó sistemáticamente todos los números de teléfono de Estados Unidos y Canadá a través del sistema y recopiló todas las coincidencias. El resultado es una base de datos de alrededor de 279.000 registros, dijo la persona.
Una persona familiarizada con el incidente dijo que la base de datos se vendió más tarde a otros y que el sistema utilizado para distribuir la base de datos era en sí mismo inseguro, lo que potencialmente la hacía accesible a una audiencia más amplia.
Respuesta de la sala de grabación: Cuando se le preguntó sobre el tamaño de la base de datos, Rec Room dijo que no reconocía el número proporcionado por la fuente, pero no especificó el número de usuarios afectados. Sin información adicional, no está claro si la empresa está determinando el tamaño de la base de datos recopilada o el alcance total del incidente.
Rec Room dijo que no se recibieron números de teléfono ni correos electrónicos directamente de la empresa.
Responder a una pregunta de un usuario sobre el incidente en el servidor Discord de la compañía el 19 de febreroUn empleado de Rec Room dijo que la plataforma anteriormente permitía a los usuarios encontrar amigos buscando en sus contactos, y que algunos usuarios estaban “abusando ampliamente de esta función”.
El mensaje decía que la función estaba desactivada “por extrema precaución”.
Por qué es importante ahora: La empresa no notificó de forma proactiva a los usuarios afectados. Rec Room dijo que su equipo de soporte respondió a los jugadores que se comunicaron con la compañía después de recibir mensajes de texto no solicitados que parecían estar vinculados a la base de datos agregada.
Dado que está previsto que la plataforma cierre el 1 de junio, la ventana de notificación proactiva también se cerrará. Después de esta fecha, Rec Room no tendrá un canal en la aplicación para llegar a sus jugadores.
Cerrar la sala de recreación puede aumentar el riesgo. Un atacante con la base de datos podría utilizar el cierre para crear mensajes de phishing convincentes (por ejemplo, un mensaje de texto o correo electrónico que imite a Rec Room y aliente a los jugadores a hacer clic en un enlace para exportar sus datos antes de que la plataforma se apague). El cierre proporcionará la credibilidad inherente a dicho mensaje.
Los números de teléfono también se pueden utilizar para encontrar nombres reales y direcciones particulares a través de registros públicos o para intentar intercambiar SIM, donde un atacante secuestra el número de teléfono de la víctima e intercepta llamadas, mensajes y códigos de autenticación. Para ayudar a evitar esto, los usuarios pueden bloquear su número de teléfono a través de la aplicación o el sitio web de su proveedor de servicios inalámbricos, generalmente con un PIN.
Configuración de privacidad: Uno de los puntos conflictivos tiene que ver con la configuración de privacidad de Rec Room. La plataforma ofrecía a los usuarios una opción de paso para evitar que otros los encontraran por número de teléfono o dirección de correo electrónico.
Sin embargo, la persona familiarizada con el incidente dijo que el entorno no protegía contra los tipos de consultas masivas utilizadas en el ataque. Esta persona dijo que sus datos aparecieron en la base de datos a pesar de que la configuración estaba desactivada y proporcionó una captura de pantalla que respalda esta afirmación.
(La persona se negó a ser identificada, citando preocupaciones de que publicar su nombre podría permitir que alguien use esos datos para vincular su identidad con la dirección de su casa y otros detalles personales utilizando registros públicos).
Cuando se le preguntó sobre la configuración de privacidad, Rec Room dijo que confirmó que estaba funcionando según lo establecido.
Precedentes históricos: Esta no es la primera vez que una plataforma social se enfrenta a un incidente de este tipo.
Un atacante en 2014 utilizó el mismo enfoque Va en contra de la función de búsqueda de amigos de Snapchat, que relaciona nombres de usuarios con 4,6 millones de números de teléfono. Inicialmente, Snapchat fue criticada por ignorar la falla de seguridad y tardó más de una semana en disculparse, pero luego reconoció la violación, actualizó su aplicación y permitió a los usuarios optar por no participar en la función.
En 2021 se utilizó una técnica similar. crear una base de datos Números de teléfono e información personal de más de 530 millones de usuarios de Facebook. Facebook dijo que solucionó la falla subyacente en 2019, pero se negó a notificar a los usuarios individuales afectados, diciendo que no podía estar seguro de qué usuarios debían ser notificados.
El enfoque de Rec Room fue más similar al de Facebook: argumentó que el incidente no planteaba un riesgo de seguridad o privacidad y que no se extrajeron datos de los usuarios de sus sistemas.
Base de usuarios de Rec Room: Rec Room ha atraído a más de 150 millones de jugadores de por vida en teléfonos, consolas, PC y cascos de realidad virtual; Antes de que se anunciara el cierre, millones de jugadores seguían activos cada mes.
Nick Fajt, director ejecutivo de la sala de recreación le dijo al Wall Street Journal en 2021 La gran mayoría de los usuarios de la plataforma tienen entre 13 y 16 años, lo que significa que la mayoría de los números de teléfono en la base de datos recopilada pertenecen a menores o a sus padres.
Camino de la empresa: Rec Room se lanzó en 2016 como una plataforma para crear y compartir mundos virtuales. Fundada por un grupo de exingenieros de Microsoft, la empresa ha recaudado 294 millones de dólares en financiación de riesgo a lo largo de su vida y estaba valorada en 3.500 millones de dólares en su punto máximo en 2021.
Pero nunca ha encontrado una manera de volverse rentable y ha recortado personal, realizando dos despidos el año pasado.
Los despidos del año pasado afectaron significativamente al equipo de ciberseguridad de la empresa, dijo la persona familiarizada con el asunto. La empresa también es programa de recompensas por error en pausa El 10 de febrero, Bugcrowd dejó de informar nuevas vulnerabilidades en su plataforma de seguridad. El programa no volvió a abrir.
Tras el anuncio del cierre en marzo, Snap activos seleccionados comprados Algunos miembros de Rec Room y el equipo se han unido a la filial de hardware de la empresa matriz de Snapchat para trabajar en las gafas de realidad aumentada Specs. No está claro si alguien está afectado Los cortes de Snap la semana pasada.
Lo que necesitas saber: Los usuarios de Rec Room que vinculen un número de teléfono a su cuenta deben tener en cuenta que su número puede estar vinculado a nombres de usuario en la base de datos federada.
Los usuarios deben ser escépticos ante los mensajes de texto o correos electrónicos no solicitados sobre la sala de descanso o el cierre inminente, especialmente los mensajes que los alientan a hacer clic en enlaces.
Con el cierre de la plataforma en menos de siete semanas, la persona familiarizada con el incidente dijo que esperaba que llamar la atención del público sobre el problema ayudaría a los usuarios a estar alerta sobre los riesgos.
