F: Was ist passiert?
A: Am 29. Juni 2024 haben wir erfahren, dass deine persönlichen Daten in deinem Roll20.net-Konto möglicherweise offengelegt wurden, als sich ein böser Akteur Zugang zu unserem administrativen Website-Konto verschafft hat. Der Bösewicht hat ein Benutzerkonto geändert und wir haben diese Änderungen umgehend rückgängig gemacht. Während dieser Zeit konnte der Bösewicht auf alle Benutzerkonten zugreifen und diese einsehen.
F: Wann ist das Ereignis eingetreten?
A: Wir haben um ca. 18:30 Uhr festgestellt, dass unser Netzwerk kompromittiert wurde. Pacific Standard Time am 29. Juni. Um 19:30 Uhr hatten wir alle unbefugten Zugriffe blockiert und den Netzwerkeinbruch beendet.
F: Welche Art von Informationen wurden bei diesem Ereignis preisgegeben?
A: Der Täter hatte während des Einbruchs Zugriff auf die Website-Kontrollen des administrativen Kontos. Dadurch konnte der böse Akteur auf Benutzerkonten zugreifen, diese einsehen und verändern. Es ist möglich, dass der böse Akteur in der Lage war, die persönlichen Daten von Roll20-Benutzern einzusehen, einschließlich derer, die sie identifizieren können:
- Der Vor- und Nachname des Nutzers;
- Die E-Mail-Adresse des Nutzers;
- Die letzte bekannte IP-Adresse des Nutzers; und
- Die letzten vier Ziffern der Kreditkarte des/der Nutzers/in, wenn der/die Nutzer/in in seinem/ihrem Roll20-Konto eine Zahlungsmethode gespeichert hat.
Dein Passwort wurde nicht offengelegt (da wir nur einen gesalzenen bcrypt-Hash deines Passworts speichern), und auch Zahlungsinformationen wie deine vollständige Kartennummer wurden nicht offengelegt (wir speichern diese Informationen nicht auf unseren Servern, sondern bei unseren Zahlungsdienstleistern).
F: Was unternimmt Roll20 als Reaktion auf das Ereignis?
A: Die staatlichen Gesetze verlangen, dass wir dich schriftlich benachrichtigen und wir möchten, dass du über diesen Vorfall Bescheid weißt, weil einige deiner persönlichen Daten gestohlen worden sein könnten. Wir verpflichten uns, deine Privatsphäre und deine persönlichen Daten zu schützen. Obwohl wir keinen Grund zu der Annahme haben, dass deine persönlichen Daten missbraucht wurden, informieren wir dich, damit du die notwendigen Informationen und Werkzeuge hast, um einen Missbrauch deiner persönlichen Daten zu erkennen und zu verhindern.
F: Was unternimmt Roll20, um zu verhindern, dass ähnliche Ereignisse in Zukunft passieren?
A: Roll20 hat die bestehenden Verfahren und Systeme untersucht und analysiert und setzt nun als Reaktion auf diese Analyse einen Aktionsplan um, der Folgendes vorsieht:
- Schränke den Zugriff auf die administrativen Konten weiter ein, um unbefugten Zugriff auf die Konten zu verhindern;
- die Daten, auf die ein administrativer Benutzer zugreifen kann, weiter einschränken; und
- Füge bei Bedarf verbesserte Sicherheitsmaßnahmen hinzu, um zu verhindern, dass sich dieser Vorfall wiederholt.
F: Ich möchte direkt mit Roll20 darüber sprechen, was passiert ist?
A: Wenn du Fragen zu den oben genannten Vorfällen hast oder eine Kopie deiner Kontodaten einsehen möchtest, auf die der Schauspieler möglicherweise Zugriff hatte, kannst du dich jederzeit unter https://help.roll20.net mit dem Betreff "Incident Data Request" an uns wenden, und wir werden dir gerne weiterhelfen.