Q : Que s'est-il passé ?
R : Le 29 juin 2024, nous avons appris que vos informations personnelles dans votre compte Roll20.net ont pu être exposées lorsqu'un acteur malveillant a accédé au compte administratif de notre site web. Le mauvais acteur a modifié un compte d'utilisateur, et nous avons rapidement annulé ces modifications. Pendant cette période, l'acteur malveillant a pu accéder à tous les comptes d'utilisateurs et les consulter.
Q : Quand l'événement s'est-il produit ?
R : Nous avons réalisé que notre réseau avait été compromis vers 18h30. Heure normale du Pacifique le 29 juin. À 19 h 30, nous avions bloqué tous les accès non autorisés et mis fin à la brèche dans le réseau.
Q : Quel type d'informations a été exposé lors de cet événement ?
R : L'acteur malveillant avait accès aux contrôles du compte administratif du site web lors de la violation. Cela a permis à l'acteur malveillant d'accéder, de visualiser et de modifier les comptes d'utilisateurs, et il est possible que l'acteur malveillant ait pu visualiser les informations personnelles identifiables des utilisateurs de Roll20, y compris :
- Le nom et le prénom de l'utilisateur ;
- L'adresse électronique de l'utilisateur ;
- la dernière adresse IP connue de l'utilisateur ; et
- Les quatre derniers chiffres de la carte de crédit de l'utilisateur, si l'utilisateur a conservé une méthode de paiement stockée dans son compte Roll20.
Notamment, votre mot de passe n'a pas été exposé (car nous ne stockons qu'un hachage bcrypt salé de votre mot de passe), ni les informations de paiement telles que votre numéro de carte complet (nous ne stockons pas ces informations sur nos serveurs, elles sont stockées auprès de nos processeurs de paiement).
Q : Que fait Roll20 en réponse à l'événement ?
R : Les lois de l'État exigent que nous vous informions par écrit et nous tenons à ce que vous soyez au courant de cet incident car certaines de vos informations personnelles ont pu être dérobées. Nous nous engageons à protéger votre vie privée et vos informations personnelles. Bien que nous n'ayons aucune raison de croire que vos informations personnelles ont été utilisées à mauvais escient, nous vous en informons afin que vous disposiez des informations et des outils nécessaires pour vous aider à détecter et à prévenir toute utilisation abusive de vos informations personnelles.
Q : Que fait Roll20 pour éviter que des événements similaires ne se reproduisent à l'avenir ?
R : Roll20 a examiné et analysé les procédures et systèmes existants et, en réponse à cette analyse, met actuellement en œuvre un plan d'action qui permettra :
- Restreignez davantage l'accès aux comptes administratifs afin d'empêcher tout accès non autorisé aux comptes ;
- restreindre davantage les données auxquelles un utilisateur administratif peut accéder ; et
- Ajoutez des mesures de sécurité renforcées si nécessaire pour éviter que cet incident ne se reproduise.
Q : Je souhaite parler directement à Roll20 de ce qui s'est passé.
R : Si vous avez des questions sur ce qui précède ou si vous souhaitez consulter une copie des données de votre compte auxquelles l'acteur a pu avoir accès, veuillez nous contacter à tout moment à l'adresse https://help.roll20.net avec pour objet "Incident Data Request" et nous nous ferons un plaisir de vous aider.