Was ist Roblox?
Bei Roblox können User mit Lego-ähnlichen Bausteinen Welten errichten und so Spielszenarien erleben. Die Software ist mit Spielen wie Minecraft vergleichbar. Sie richtet sich an Kinder und Jugendliche. Roblox gibt selbst an, über 100 Millionen monatlich aktive Nutzer zu haben.
Wie kam der Hacker ins System des Kundensupports?
Der Hacker gab gegenüber Motherboard an, erst einen Mitarbeiter bestochen zu haben, damit dieser Daten für ihn heraussucht. Danach bestach er einen Mitarbeiter beim Kundensupport, um sich selbst im System von Roblox umzusehen.
Das konnte der Hacker im System von Roblox machen
Der Hacker hätte theoretisch E-Mail-Adressen einsehen, Passwörter ändern, die Zweifaktor-Authentifizierung ausschalten und Nutzer aus dem Spiel aussperren können. Tatsächlich änderte er jedoch lediglich die Passwörter von zwei Accounts und verkaufte ihre Items. Das wies der Hacker per Screenshot nach. Ein Screenshot zeigt dabei auch, dass eine Zweifaktor-Authentifizierung verändert wurde.
Warum hat der Hacker das gemacht?
Der Hacker gab an, sich nur Zugang zum System verschafft zu haben, um Roblox zu zeigen, dass es eine Sicherheitslücke habe. Dafür wollte er vom Unternehmen über das Bug-Bounty-Programm eine Belohnung erhalten. Das Bug-Bounty-Programm belohnt IT-Experten, die Fehler und Lücken in Software finden. Roblox lehnte eine Belohnung jedoch ab. Der Hacker nahm dann die kleinen Änderungen im System vor.
Fazit
Roblox hat den Vorfall bei der Bug-Bounty-Programm-Plattform HackerOne gemeldet und Ermittlungen eingeleitet. Es hat die betroffenen Kunden informiert. Zudem hat es den Vorfall gegenüber Vice bestätigt. Roblox bezeichnete diesen als Social-Engineering-Attacke.
Alles, was Sie wissen müssen