Roblox anklagas för att riskera dataläckage om 100 miljoner spelare

Roblox
(Foto: Roblox)

Säkerhetsforskare hävdar att det populära onlinespelet Roblox lider av flertalet säkerhetsbuggar som kan ha använts för att få ut uppgifter om mer än 100 miljoner spelare, varav väldigt många barn.

Enligt en artikel (Öppnas i ny flik) från CyberNews så är Roblox skyldiga till ett antal mer eller mindre stora brister i säkerheten, framförallt vad gäller Android-appen.

Roblox i sin tur förnekar dock att så skulle vara fallet och hävdar att undersökningen gjorts på inaktiv kod och att bristerna inte alls skulle vara så allvarliga som de framställs.

  • Bästa antivirus 2021 (Öppnas i ny flik): Test och ranking av programmen som håller dina enheter skyddade

En talesperson för Roblox berättar för TechRadar Pro: "Vi tar alla rapporter på allvar och utredde ärendet i mars när forskargruppen tog kontakt med oss. Vår utredning visar att det inte finns någon korrelation mellan dessa påståenden. och en faktisk risk för våra användares data och integritet."

"Ett påstående var felaktigt och de andra tre berör inaktiv kod som inte används i Roblox plattform. Trots det har den inaktiva koden tagits bort för att säkerställa tryggheten för våra användare."

Säkerhetsproblem i Roblox?

Enligt rapporten från CyberNews så exponerar apppen användardata på fyra olika sätt. Dels genom felaktig konfigurering i appens manifest-fil, otillräckliga så kallade hasningsalgoritmer, känslig för den så kallade Janus-sårbarheten och via hårdkodade API-nycklar.

Tillsammans gav dessa sårbarheter ett anmärkningsvärt lågt betyg för Roblox-appen på endast 10/100 i säkerhetstestet "Mobile Security Framework" som används för att bedöma säkerheten i mobilappar.

Även om CyberNews bekräftar att några av säkerhetsbuggarna har fixats till i senaste versionen så anser man fortfarande att "det finns ett hot mot spelarnas digitala säkerhet" och att uppgifter som spelarnas namn och e-postadresser kan vara lätta att komma åt.

Roblox

(Image credit: Roblox)

Även om säkerhetsfel och buggar är skäl till oro i alla lägen så är det särskilt känsligt i fallet med Roblox, ett spel som i absolut majoritet spelas av barn i åldrarna 9 till 15 år.

Många dataskyddslagar världen om, inklusive GDPR, innehåller särskilda bestämmelser kring skyddet av barns personliga uppgifter, något som innebär att företag som Roblox måste ta till extra åtgärder för att skydda uppgifterna mot läckor och attacker.

Enligt CyberNews innebär dessutom den volym av mikrotransaktioner i kombination med den relativt unga målgruppen att spelet i sig är ett mycket attraktivt mål för cyberkriminella.

I ett uttalande så uttrycker CyberNews besvikelse över dels hur Roblox hanterar säkerheten men även kring hur långsamt man svarat på och åtgärdat dessa problem. Forskargruppen hävdar att de kontaktat Roblox vid flertalet tillfällen för att varna om sårbarheterna och att de då inte skulle fått några svar.

"Det är oroande att se ett företag med årtionden av utvecklingserfarenhet, miljontals kunder och en budget som matchar detta följa sådana säkerhetsrutiner," säger Mantas Sasnauskas, forskare på CyberNews.

"Vi ber Roblox att ta dessa säkerhetsbrister på största allvar, att se över hur man hanterar säkerhetsbrister och integritetsfrågor, allra helst med tanke på att det är ett spel som har över hundra miljoner användare."

Uppdatering:
CyberNews har även kompletterat med ytterligare uttalande till TechRadar Pro:

"Vi är glada att Roblox har beslutat sig ta bort de delar av koden som enligt de var inaktiva och att de berört tre av de säkerhetsbrister vi lyft. Vi anser att det är en bra reaktion från Roblox del eftersom det kommer till användarnas nytta. Det är dessutom bra rutin att inte behålla inaktiv kod i produktion. Inaktiv kod kan resultera i såväl försämrad prestanda som framförallt säkerhetshål som kan missbrukas av illvilliga personer."

Michael Kilschow Hansen
Redaktør / Nyhedsjournalist

Michael har arbejdet journalistisk næsten hele sit arbejdsliv - og har i årenes løb beskæftiget sig med online nyhedsmedier, radio, tv, ugeblade, magasiner, musik- og filmjournalistik. Michael har været en del af TechRadar Danmark-teamet siden januar 2021. 

Han eeelsker sin iPhone, sin iPad og sin iMac - men på et ikke-religiøst niveau, og er voldsomt nysgerrig på, hvad andre tech-brands kan tilbyde.

Arbejde og hobby mødes i en smuk fusion, når der skal skrives om streamingtjenester og deres indhold, nye premierer på serier, film og spændende dokumentarprogrammer.