P: ¿Qué ha pasado?
R: El 29 de junio de 2024, nos enteramos de que su información personal en su cuenta de Roll20.net puede haber sido expuesta cuando un mal actor obtuvo acceso a la cuenta administrativa de nuestro sitio web. El malhechor modificó una cuenta de usuario y nosotros revertimos rápidamente esas modificaciones. Durante este tiempo, el malhechor pudo acceder y ver todas las cuentas de usuario.
P: ¿Cuándo ocurrió el suceso?
R: Nos dimos cuenta de que nuestra red había sido comprometida aproximadamente a las 18:30 horas. Hora estándar del Pacífico el 29 de junio. A las 19:30 habíamos bloqueado todos los accesos no autorizados y puesto fin a la brecha en la red.
P: ¿Qué tipo de información se expuso en este acto?
R: El malhechor tuvo acceso a los controles del sitio web de la cuenta administrativa durante la violación. Esto permitió al malhechor acceder, ver y modificar las cuentas de los usuarios, y es posible que el malhechor haya podido ver la información personal identificable de los usuarios de Roll20, incluyendo:
- El nombre y apellidos del usuario;
- La dirección de correo electrónico del usuario;
- La última dirección IP conocida del usuario; y
- Los cuatro últimos dígitos de la tarjeta de crédito del usuario, si éste mantenía un método de pago almacenado en su cuenta Roll20.
En particular, su contraseña no quedó expuesta (porque sólo almacenamos un hash bcrypt salado de su contraseña), ni tampoco la información de pago, como el número completo de su tarjeta (no almacenamos esa información en nuestros servidores, se guarda con nuestros procesadores de pagos).
P: ¿Qué está haciendo Roll20 en respuesta al suceso?
R: Las leyes estatales exigen que se lo notifiquemos por escrito y queremos que esté al tanto de este incidente porque es posible que se haya sustraído parte de su información personal. Nos comprometemos a proteger su privacidad y su información personal. Aunque no tenemos motivos para creer que se haya hecho un uso indebido de su información personal, se lo notificamos para que disponga de la información y las herramientas necesarias que le ayuden a detectar y prevenir cualquier uso indebido de su información personal.
P: ¿Qué está haciendo Roll20 para evitar que se produzcan sucesos similares en el futuro?
R: Roll20 ha examinado y analizado los procedimientos y sistemas existentes y, en respuesta a ese análisis, está poniendo en marcha un plan de acción que:
- Restrinja aún más el acceso a las cuentas administrativas para evitar el acceso a cuentas no autorizadas;
- Restringir aún más los datos a los que puede acceder un usuario administrativo; y
- Añada las medidas de seguridad reforzadas que sean necesarias para evitar que este incidente se repita.
P: ¿Quiero hablar directamente con Roll20 sobre lo ocurrido?
R: Si tiene alguna pregunta sobre lo anterior, o si desea ver una copia de los datos de su cuenta a los que el actor haya podido tener acceso, póngase en contacto con nosotros en cualquier momento a través de https://help.roll20.net con el asunto "Solicitud de datos sobre incidentes" y estaremos encantados de ayudarle.