D: Cosa è successo?
R: Il 29 giugno 2024, abbiamo appreso che i suoi dati personali nel suo account Roll20.net potrebbero essere stati esposti quando un malintenzionato ha avuto accesso al nostro account del sito web amministrativo. Il cattivo attore ha modificato un account utente e noi abbiamo prontamente annullato le modifiche. Durante questo periodo, il malintenzionato è stato in grado di accedere e visualizzare tutti gli account utente.
D: Quando si è verificato l'evento?
R: Ci siamo resi conto che la nostra rete era stata compromessa alle 18.30 circa. Ora solare del Pacifico il 29 giugno. Alle 19.30, avevamo bloccato tutti gli accessi non autorizzati e posto fine alla violazione della rete.
D: Che tipo di informazioni sono state esposte in questo evento?
R: Il malintenzionato ha avuto accesso ai controlli del sito web dell'account amministrativo durante la violazione. Questo ha permesso al malintenzionato di accedere, visualizzare e modificare gli account degli utenti ed è possibile che il malintenzionato sia stato in grado di visualizzare le informazioni di identificazione personale degli utenti di Roll20, tra cui:
- Nome e cognome dell'utente;
- L'indirizzo e-mail dell'utente;
- L'ultimo indirizzo IP conosciuto dell'utente; e
- Le ultime quattro cifre della carta di credito dell'utente, se l'utente ha mantenuto un metodo di pagamento memorizzato nel suo conto Roll20.
In particolare, la sua password non è stata esposta (perché memorizziamo solo un hash salato, bcrypt, della sua password), né le informazioni di pagamento come il numero completo della sua carta (non memorizziamo queste informazioni sui nostri server, ma con i nostri processori di pagamento).
D: Cosa sta facendo Roll20 in risposta all'evento?
R: Le leggi statali ci impongono di informarla per iscritto e vogliamo che sia a conoscenza di questo incidente perché potrebbero essere state sottratte alcune delle sue informazioni personali. Ci impegniamo a proteggere la sua privacy e le sue informazioni personali. Sebbene non abbiamo motivo di credere che le sue informazioni personali siano state utilizzate in modo improprio, la informiamo in modo che abbia le informazioni e gli strumenti necessari per aiutare a rilevare e prevenire qualsiasi uso improprio delle sue informazioni personali.
D: Cosa sta facendo Roll20 per evitare che eventi simili si verifichino in futuro?
R: Roll20 ha esaminato e analizzato le procedure e i sistemi esistenti e, in risposta a tale analisi, sta implementando un piano d'azione che prevede:
- Limita ulteriormente l'accesso agli account amministrativi per evitare l'accesso non autorizzato;
- Limitare ulteriormente i dati a cui un utente amministrativo può accedere; e
- Aggiunga misure di sicurezza potenziate, se necessario, per evitare che questo incidente si ripeta.
D: Voglio parlare direttamente con Roll20 di quello che è successo?
R: Se ha domande su quanto sopra, o se desidera visualizzare una copia dei dati del suo conto a cui l'attore potrebbe aver avuto accesso, ci contatti in qualsiasi momento tramite https://help.roll20.net con l'oggetto "Richiesta di dati sull'incidente" e saremo lieti di assisterla.