Q:何があったのですか?
A: 2024年6月29日、Roll20.netの管理サイトアカウントに悪意ある人物がアクセスし、Roll20.netアカウントの個人情報が流出した可能性があることが判明しました。 悪質な行為者は1つのユーザー・アカウントを変更しましたが、私たちはすぐにその変更を取り消しました。 この間、悪質業者はすべてのユーザー・アカウントにアクセスし、閲覧することができた。
Q:その出来事はいつ起こりましたか?
A: 午後6時30分頃、ネットワークが侵害されていることに気づきました。 太平洋標準時の6月29日。 午後7時30分までに、我々はすべての不正アクセスをブロックし、ネットワーク侵害を終わらせた。
Q:今回、どのような情報が流出したのでしょうか?
A: 不正行為者は、侵害の間、管理者アカウントのウェブサイト・コントロールにアクセスすることができました。 これにより、悪意ある行為者はユーザーアカウントにアクセスし、閲覧、修正することが可能となり、悪意ある行為者はRoll20ユーザーの個人を特定できる以下のような情報を閲覧できた可能性がある:
- ユーザーの姓と名;
- ユーザーのEメールアドレス;
- ユーザーの最終IPアドレス。
- ユーザがRoll20アカウントに保存された支払い方法を保持していた場合、ユーザのクレジットカードの下4桁。
特に、パスワードが流出することはなく(パスワードの塩漬け、bcryptハッシュのみが保存されるため)、カード番号などの支払い情報も流出することはありませんでした(これらの情報は当社のサーバーには保存されず、支払い処理業者に保存されます)。
Q:Roll20はこのイベントに対してどのような取り組みをしていますか?
A: 州法により、書面での通知が義務付けられており、お客様の個人情報の一部が持ち出された可能性があるため、この件についてお客様に知っていただきたいと考えております。 私たちはお客様のプライバシーと個人情報の保護に努めています。 お客様の個人情報が悪用されたと信じるに足る根拠はありませんが、お客様の個人情報が悪用されたことを発見し、防止するために必要な情報と手段をお客様に提供するために、お知らせいたします。
Q: 今後同じようなことが起こらないように、Roll20はどのような取り組みをしていますか?
A: Roll20 は、既存の手順とシステムを調査・分析し、その分析に基づき、現在、以下のアクションプランを実施しています:
- 不正なアカウントアクセスを防ぐため、管理アカウントへのアクセスをさらに制限する;
- 管理ユーザーがアクセスできるデータをさらに制限する。
- 再発防止のため、必要に応じてセキュリティ対策を強化する。
Q: 何が起こったのか、Roll20に直接話したいのですが?
A: 上記についてご質問がある場合、または俳優がアクセスした可能性のあるアカウントデータのコピーをご覧になりたい場合は、https://help.roll20.net、件名を「インシデント・データ・リクエスト」として、いつでもご連絡ください。