P: O que é que aconteceu?
R: Em 29 de junho de 2024, soubemos que as suas informações pessoais na sua conta Roll20.net podem ter sido expostas quando um malfeitor obteve acesso à nossa conta administrativa do site. O malfeitor modificou uma conta de utilizador e nós revertemos imediatamente essas modificações. Durante este tempo, o malfeitor conseguiu aceder e visualizar todas as contas de utilizador.
P: Quando é que o evento ocorreu?
R: Apercebemo-nos de que a nossa rede tinha sido comprometida aproximadamente às 18:30h. Hora padrão do Pacífico, em 29 de junho. Às 19h30, tínhamos bloqueado todos os acessos não autorizados e terminámos a violação da rede.
P: Que tipo de informação foi exposta neste evento?
R: O malfeitor teve acesso a controlos administrativos de contas de sítios Web durante a violação. Isto permitiu que o malfeitor acedesse, visse e modificasse as contas de utilizador, e é possível que o malfeitor tenha conseguido ver as informações de identificação pessoal dos utilizadores do Roll20, incluindo:
- O primeiro e último nome do utilizador;
- O endereço de correio eletrónico do utilizador;
- O último endereço IP conhecido do utilizador; e
- Os últimos quatro dígitos do cartão de crédito do utilizador, se este mantiver um método de pagamento armazenado na sua conta Roll20.
Nomeadamente, a sua palavra-passe não foi exposta (porque apenas guardamos um hash bcrypt salgado da sua palavra-passe), nem as informações de pagamento, como o número completo do seu cartão (não guardamos essas informações nos nossos servidores, são guardadas com os nossos processadores de pagamentos).
P: O que é que o Roll20 está a fazer em resposta ao evento?
R: A legislação estatal exige que o notifiquemos por escrito e queremos que tenha conhecimento deste incidente porque algumas das suas informações pessoais podem ter sido roubadas. Comprometemo-nos a proteger a sua privacidade e as suas informações pessoais. Embora não tenhamos motivos para acreditar que as suas informações pessoais tenham sido utilizadas indevidamente, estamos a notificá-lo para que disponha das informações e ferramentas necessárias para ajudar a detetar e evitar qualquer utilização indevida das suas informações pessoais.
P: O que é que o Roll20 está a fazer para evitar que acontecimentos semelhantes aconteçam no futuro?
R: O Roll20 examinou e analisou os procedimentos e sistemas existentes e, em resposta a essa análise, está agora a implementar um plano de ação que irá
- Restrinja ainda mais o acesso às contas administrativas para impedir o acesso não autorizado às contas;
- Restringir ainda mais os dados a que um utilizador administrativo pode aceder; e
- Adicione medidas de segurança reforçadas, conforme necessário, para evitar que este incidente se repita.
P: Quero falar diretamente com o Roll20 sobre o que aconteceu?
R: Se tiver alguma dúvida sobre o que precede ou se pretender ver uma cópia dos dados da sua conta a que o ator possa ter tido acesso, contacte-nos a qualquer momento através de https://help.roll20.net com o assunto "Pedido de dados de incidentes" e teremos todo o gosto em ajudá-lo.