Brecha de datos en Activision expone información de juegos y empleados

La brecha de datos ocurrió en Diciembre de 2022

Activision, un gigante de desarrollo de videojuegos, sufrió una brecha de datos a principios de Diciembre de 2022. Los hackers, quienes obtuvieron acceso a los sistemas internos de la compañía engañando a un empleado con un SMS con texto phishing, fueron capaces de filtrar documentos sensibles, incluyendo información de empleados y contenidos de los lanzamientos hasta el 17 de Noviembre de 2023.

Activision declara que no ha habido datos sensibles de empleados, código de juegos o datos de jugadores a los que hayan podido acceder y que el incidente fue resuelto rápidamente. Sin embargo, los investigadores en seguridad de vx-underground declararon que los hackers obtuvieron acceso a la cuenta de Slack de un empleado de Activision el 2 de Diciembre e intentaron engañar a otros empleados para que hiciesen click en enlaces maliciosos.

Comúnmente, los hackers atacan a industrias particulares y profesionales en campos como la tecnología y la ciber seguridad. Los empleados son necesarios para los ataques de ingeniería social y más infecciones dentro del plan de ataque de los ciber criminales. Estos métodos implican incluso la publicidad de herramientas particulares que los profesionales utilizan y buscan obtener. Mantente cauto.

Información personal de empleados supuestamente filtrada

Aunque Activision tiene todavía que informar a sus empleados sobre la brecha de datos, algunos de los cuales pueden haber visto sus datos robados, vx-underground verificó la legitimidad de la brecha de datos. De acuerdo con los investigadores en seguridad, la información de empleados obtenida incluía nombres completos, emails corporativos y números de teléfono, cantidades monetarias en las ofertas abiertas, lugares de trabajo y más.

Se dijo que el hackeo fue limitado a un solo ordenador de un empleado, pero dadas las posibilidades que se dan a un empleado de recursos humanos, el ordenador contenía detalles de todos los empleados de Activision. Sin embargo, Activision declara que no se han comprometido los datos de sus usuarios ni jugadores.

The security of our data is paramount, and we have comprehensive information security protocols in place to ensure its confidentiality. On December 4, 2022, our information security team swiftly addressed an SMS phishing attempt and quickly resolved it. Following a thorough investigation, we determined that no sensitive employee data, game code, or player data was accessed.

La brecha también reveló planes para los próximos DLCs de Modern Warfare, Call of Duty 2023 (Codenamed Jupiter) y Call of Duty 2024 (Codenamed Cerberus). La información filtrada se basaba en material de marketing y los ambientes de desarrollo no fueron afectados por la brecha. Aunque alguna información obtenida por Activision pueda estar desactualizada, la brecha es significativa a nivel de datos de empleados y de los próximos lanzamientos, que quedaron expuestos.

Activision declara que no hay información sensible robada

Las oficinas principales de Activision se encuentran en California, donde la ley de notificación sobre la brecha de datos requiere a las compañías notificar a las víctimas de la bnrecha de datos cuando 500 o más residentes han sido afectados. La ley define la «información personal» como la que incluye números de la Seguridad Social y otras formas de identificación como el carnet de conducir, tarjetas con identificación de California, números de identificación fiscal, números de pasaporte, números de identificación militar, u otros números de identificación únicos generados por el gobierno como documento normalmente usado para verificar la identidad específica del individuo, datos médicos y de salud, números de tarjetas de crédito y datos genéticos y biométricos.

El portavoz de Activision ha declarado que no hay requisitos para la compañía de notificar cuando no hay evidencia de acceso a datos sensibles. No obstante, dada que la información de algunos empleados ha quedado expuesta por la brecha, incluyendo nombres y emails corporativos, Activision puede necesitar notificar a sus empleados y reguladores de la brecha. La compañía también está en proceso de ser adquirida por Microsoft en un trato valorado en 68,7 billones de dólares, lo cual puede complicar aún más las cosas.

Activision tiene todavía que notificar a sus empleados de la brecha, lo cual puede ser problemático si sus datos fueron robados. La empresa necesita también notificar a los reguladores de la brecha, dado que los datos de empleados han quedado expuestos. Esta brecha es un recordatorio de la importancia de las medidas en materia de ciber seguridad y requisito indispensable para que las compañías se tomen estas brechas de datos seriamente.