Comment une plateforme populaire comme Roll20 peut-elle être compromise par une faille de sécurité? Comment une telle brèche a-t-elle échappé à la vigilance de l’équipe responsable?
Mercredi dernier, Roll20, la plateforme de jeux de rôle et de tables virtuelles en-ligne, a annoncé avoir subi une violation de données. L’incident a exposé certaines informations personnelles des utilisateurs. Le piratage a été détecté le 29 juin, lorsqu’un « acteur malveillant » a réussi à accéder à un compte sur le site administratif de l’entreprise pendant une heure avant que Roll20 ne bloque l’accès non autorisé.
Mais que s’est-il réellement passé pendant cette heure? Selon Roll20, l’intrus a modifié un compte utilisateur, modifications que l’entreprise a rapidement annulées. Cependant, cette brèche a permis au pirate d’accéder et de visualiser tous les comptes utilisateurs. Est-ce une simple erreur humaine ou un véritable manque de sécurité chez Roll20?
« Nous regrettons sincèrement que cet incident se soit produit. »
Bien que les mots de Roll20 se veuillent rassurants, ils soulèvent de nombreuses interrogations. Les informations personnelles compromises comprennent le nom complet, l’adresse e-mail, la dernière adresse IP connue et les quatre derniers chiffres des cartes de crédit enregistrées. Toutefois, les mots de passe et les informations complètes de paiement n’ont pas été compromis, selon la société.
Est-il suffisant de notifier simplement les utilisateurs concernés sans donner plus de détails? Plusieurs utilisateurs ont partagé leur inquiétude sur les réseaux sociaux, révélant les notifications reçues par e-mail concernant la violation. Malgré les demandes de TechCrunch, Jayme Boucher, porte-parole de Roll20, n’a pas fourni de réponses claires sur l’ampleur de l’attaque ni sur l’identité possible du pirate.
Avec ses 12 millions d’utilisateurs et son statut de choix numéro un pour le jeu en ligne de Donjons et Dragons, Roll20 se doit de garantir la sécurité de ses utilisateurs. Boucher déclare que l’entreprise n’a pas de preuve d’utilisation malveillante des données et insiste sur la transparence envers les utilisateurs. Mais, cela est-il vraiment suffisant pour rétablir la confiance des utilisateurs?
Ce n’est pas la première fois que Roll20 est victime d’une cyberattaque. En 2019, plus de 600 millions de données provenant de 24 sites web différents, dont Roll20, avaient été dérobées par un hacker. Quel sera l’avenir de la sécurité chez Roll20 et comment la plateforme compte-t-elle renforcer ses mesures pour éviter de futurs incidents similaires?
Source : Techcrunch