Durch die Bestechung eines Mitarbeiters des beliebten Online-Spiels Roblox konnte ein Hacker auf das Kundendienst-Panel des Unternehmens zugreifen und so die persönlichen Daten anderer Benutzer durchsuchen und virtuelles Geld im Spiel verschenken. Wie das Motherboard angibt, konnte der Hacker diesen Zugriff nutzen, um die E-Mail-Adressen anderer Benutzer einzusehen, ihre Passwörter zu ändern, die Zwei-Faktor-Authentifizierung von ihren Konten zu entfernen, Benutzer zu sperren und vieles mehr. Der Hacker teilte Screenshots mit den Medien, die persönliche Daten einiger der prominentesten Roblox-Benutzer enthielten, darunter YouTuber Linkmon99. Obwohl der Hacker Informationen über viele Benutzer hätte sammeln können, griff er nur auf eine Handvoll Konten zu. In einem Online-Gespräch mit Motherboard sagte der Hacker: „Ich habe es nur getan, um Ihnen etwas zu beweisen.“ Der Zugriff auf die Online-Konten und In-Game-Gegenstände anderer Benutzer durch Social Engineering und Korruption ist schon schlimm genug, aber die Tatsache, dass viele Roblox-Benutzer Kinder sind, macht die Sache noch komplizierter.
Hack von Roblox
Der Hacker konnte nicht nur Benutzerdaten einsehen, sondern auch Passwörter zurücksetzen und andere Benutzerdaten ändern, basierend auf Screenshots des Kundensupport-Panels, die mit dem Motherboard geteilt wurden. Nach Angaben des Hackers haben sie das Passwort zweier Konten geändert und ihre Artikel verkauft. Der Hacker begann, die Roblox-Plattform zu infiltrieren, indem er einen Insider für die Durchführung von Datensuchen bezahlte. Es ging jedoch noch einen Schritt weiter, als der Hacker einen Kundendienstmitarbeiter ins Visier nahm, um noch mehr Zugriff auf Unternehmenssysteme zu erhalten. Der Hacker ging sogar so weit, einen Bug-Bonus von Roblox zu fordern, was jedoch abgelehnt wurde, weil er keine Schwachstelle gefunden hatte, sondern stattdessen Social Engineering und Korruption nutzte, um sich Zugang zu ihren Systemen zu verschaffen. Nach dem Hack löste Roblox das Problem und benachrichtigte die kleine Anzahl betroffener Benutzer einzeln. Als zusätzliche Maßnahme meldete das Unternehmen das Vorgehen des Hackers auch an die Bug-Bidding-Plattform HackerOne. Durch das Motherboard