Skip to main content

Robloxia syytetään yli 100 miljoonan pelaajan mahdollisesta tietovuodosta

Roblox
(Kuva: Roblox)

Tutkijat väittävät suositussa verkkopeli Robloxissa olevan useita haavoittuvuuksia, jotka ovat voineet vaarantaa yli 100 miljoonan pelaajan tiedot. Monet pelaajista ovat kaiken lisäksi alaikäisiä.

CyberNewsin julkaisemassa raportissa Robloxin väitetään olevan syyllinen lukuisiin "räikeisiin" turvallisuuspuutteisiin, jotka liittyvät pääasiallisesti pelin Android-sovellukseen.

Roblox on kuitenkin kiistänyt väitteet ja kertoo tutkimuksen perustuneen käyttämättömään koodiin ja ettei haavoittuvuudet ole olleet niin vakavat.

Robloxin edustaja kertoi TechRadar Prolle: "Otamme kaikki väitteet vakavasti, ja tutkimme välittömästi asian, kun tutkijat lähestyivät meitä asialla ensimmäisen kerran maaliskuussa. Meidän tutkinnassa paljastui, ettei väitteiden ja todellisen käyttäjien tietojen yksityisyyteen koostuvan riskin välillä ole yhteyttä."

"Yksi väite oli virheellinen ja kolme muuta koskivat koodia, joka ei ole aktiivinen Roblox-alustalla. Olemme silti poistaneet nämä käyttämättömän koodit parantaakseen turvallisuutta ja käyttäjiemme turvallisuutta."

Robloxilla turvallisuusongelmia?

CyberNewsin raportti väittää, että sovellus on altistanut käyttäjien datan neljää eri reittiä: Roblox Androidin metadatassa olevien väärien asetusten, riittämättömien tarkistealgoritmien, Janus-haavoittuvuusalttiuden sekä kovakoodattujen API-avainten kautta.

Yhdessä nämä ongelmat ovat arvioineet Roblox Android -sovelluksen arvosanaksi todella huonon 10/100 -pisteytyksen, joka pohjautuu mobiilisovellusten turvallisuutta usein mittaavaan Mobile Security Frameworkiin.

Vaikka CyberNews myöntää, että osa näistä turvallisuusriskeistä on korjattu viimeisimpien versioiden päivityksessä, tutkijat uskovat silti "uhan pelaajien turvallisuudelle olevan todellinen". Heidän mukaan myös käyttäjien nimet ja sähköpostiosoitteet ovat saattaneet vuotaa melko helppoja keinoja käyttäen.

Roblox

(Image credit: Roblox)

Turvallisuusriskit ovat aina otettava vakavasti, mutta varsinkin Robloxin kohdalla mahdolliset vuodot ovat merkittävämmät, sillä suurin osa palvelun pelaajista ovat 9-15-vuotiaita lapsia.

Monet tietosuoja-asetukset, kuten GDPR, sisältävät erityisesti lapsien henkilökohtaisten tietojen turvallisuutta parantamaan pyrkiviä erityisasetuksia. Tämä tarkoittaa samalla sitä, että Robloxin kaltaiset yritykset joutuvat tekemään omista suojauksistaan entistä vahvempia.

Lisäksi CyberNews moittii Robloxin turvallisuuskäytäntöjen kehnoutta ja yhtiön hidasta vastausta asiaan. Tutkijat väittävät olleen yhteydessä Robloxiin useita kertoja varoittaakseen yhtiötä haavoittuvuuksistaan, mutta väittävät jääneen ilman vastausta.

"On huolestuttavaa nähdä vuosikymmenten kehityskokemuksella varustettuja yrityksiä, joilla on miljoonia asiakkaita ja riittävä budjetti, tällaisilla turvallisuuskäytännöillä", CyberNewsin tutkija Mantas Sasnauskas sanoo.

"Pyydämme Robloxia tekemään alustansa turvallisuusriskeistä ykkösprioriteetin. Heidän turvallisuus- ja suojauskäytäntöjen pitäisi olla paljon perusteellisemmat ja niitä pitäisi valvoa perusteellisemmin, etenkin kun pelillä on satoja miljoonia käyttäjiä."

CyberNews antoi TechRadar Prolle myöhemmin myös seuraavan lisälausunnon tapaukseen liittyen:

"Olemme tyytyväisiä siitä, että Roblox päätti poistaa koodin, joka heidän mukaansa oli käyttämätön, ja kommentoi myös kolmea nostamaamme ongelmaa. Tämä on mielestämme hyvä reaktio Robloxin osalta, sillä se on heidän käyttäjiensä eduksi. On hyvä käytäntö poistaa käyttämätön koodi tuotteesta. Muutoin se voi aiheuttaa ongelmia tuotteen suorituskyvyssä, turvallisuudessa ja suojauksessa, tai sitä voidaan käyttää hyödyksi hyökkäyksissä."