Skip to main content

Roblox beskyldes for at have risikeret datalækage fra 100 millioner spillere

Roblox
(Foto: Roblox)

Sikkerhedsforskere hævder, at det populære online-spil Roblox lider af en række sikkerhedsfejl, der muligvis er blevet brugt til at få oplysninger om mere end 100 millioner spillere, hvoraf mange er børn. 

Ifølge en artikel fra CyberNews er Roblox ansvarlig for en række mere eller mindre store fejl i sikkerheden, især med hensyn til Android-appen. 

Roblox benægter imidlertid, at dette er tilfældet, og hævder, at undersøgelsen blev udført via en inaktiv kode, og at manglerne slet ikke er så alvorlige, som de beskrives.

En talsmand for Roblox fortæller TechRadar Pro: "Vi tager alle rapporter alvorligt og undersøgte sagen i marts, da forskerteamet kontaktede os. Vores undersøgelse viser, at der ikke er nogen sandhed i disse påstande. Og dermed heller ikke en faktisk risiko for vores brugeres data og integritet." 

"Én påstand var decideret forkert, og de andre tre vedrører en inaktiv kode, der ikke bruges i Roblox-platformen. Ikke desto mindre er den inaktive kode fjernet for at sikre vores brugeres sikkerhed."

Sikkerhedsproblem i Roblox?

Ifølge rapporten fra CyberNews udsætter appen brugerdata for risici på fire forskellige måder. Dels på grund af forkert konfiguration i appens manifestfil, utilstrækkelige såkaldte hashing-algoritmer, følsomhed over for den såkaldte Janus-sårbarhed og via hårdkodede API-nøgler. 

Tilsammen gav disse sårbarheder Roblox-appen en bemærkelsesværdig lav rating på kun 10/100 i sikkerhedstesten "Mobile Security Framework", der blev brugt til at vurdere sikkerheden i mobilapps. 

Selvom CyberNews bekræfter, at nogle af sikkerhedsfejlene er rettet i den nyeste version, anses det stadig for, at "der eksisterer en trussel mod spillernes digitale sikkerhed", og at information så som spillerens navne og e-mail adresser let kan tilgås .

Roblox

(Image credit: Roblox)

Selvom sikkerhedsfejl og bugs giver anledning til bekymring i enhver situation, er det særligt følsomt i tilfælde af Roblox, et spil der for langt størstedelens vedkommende spilles af børn i alderen 9 til 15 år. 

Mange databeskyttelseslove rundt om i verden, herunder GDPR, indeholder specifikke bestemmelser vedrørende beskyttelse af børns personlige data, hvilket betyder, at virksomheder som Roblox skal træffe ekstra foranstaltninger for at beskytte dataene mod lækager og angreb. 

Ifølge CyberNews betyder volumen af mikrotransaktioner i kombination med den relativt unge målgruppe også, at selve spillet er et meget attraktivt mål for cyberkriminelle. 

I en erklæring udtrykker CyberNews skuffelse over, hvordan Roblox håndterer sikkerhed, men også om, hvor langsomt de reagerede på og løste disse problemer. Forskningsgruppen hævder, at de ved de flere lejligheder kontaktede Roblox for at advare om sårbarhederne, og at de derefter ikke modtog svar. 

”Det er bekymrende at se en virksomhed med årtiers udviklingserfaring, millioner af kunder og et budget, der matcher dette, ikke forvalte en bedre sikkerhedspraksis,” udtaler Mantas Sasnauskas, forsker hos CyberNews. 

"Vi beder Roblox om at tage disse sikkerhedsfejl meget alvorligt og gennemgå, hvordan der fremover bliver håndteret sikkerhedsfejl og fortrolighedsproblemer, især i betragtning af at det er et spil, der har over hundrede millioner brugere."

Opdatering:
CyberNews har også tilføjet denne kommentar til TechRadar Pro: 

"Vi er glade for, at Roblox har besluttet at fjerne de dele af koden, som de mener var inaktive, og at de adresserede tre af de sikkerhedssårbarheder, vi påpegede. Vi mener, at dette er et positivt svar fra Roblox, da det gavner brugerne. Det er også en god praksis for ikke at holde inaktiv kode i produktion. Inaktiv kode kan resultere i både forringet ydeevne og frem for alt sikkerhedshuller, der kan misbruges af kriminelle personer."