A violação de dados no provedor de jogos em nuvem Shadow, com sede em Paris, pode ter consequências mais graves do que as inicialmente divulgadas pela empresa, de acordo com uma análise dos dados roubados visualizados pelo TechCrunch.
Num e-mail enviado aos clientes afetados esta semana, o CEO da Shadow, Eric Sèle, relatou que um hacker realizou um sofisticado “ataque de engenharia social” contra um dos funcionários, resultando no acesso não autorizado a informações pessoais dos clientes, como nomes completos, endereços de e-mail, datas de nascimento, endereços de cobrança e datas de vencimento de cartões de crédito.
O TechCrunch obteve uma amostra dos dados roubados, que inclui 10.000 registros únicos do hacker responsável pelo ataque cibernético. Este indivíduo, que assumiu a responsabilidade pela violação em um fórum de hackers, alega ter obtido os dados de mais de 530.000 clientes da Shadow e está oferecendo essas informações à venda, alegando que a empresa os “ignorou deliberadamente.”
O TechCrunch conduziu uma verificação parcial dos registros roubados, comparando os endereços de e-mail exclusivos dos funcionários encontrados no conjunto de dados com os registros de inscrição no site da empresa. Várias contas de funcionários da Shadow foram registradas usando endereços de e-mail com curingas “mais,” contendo longas sequências exclusivas de letras e números associados à empresa.
Além disso, muitos dos endereços de cobrança dos clientes correspondem a residências privadas. O conjunto de dados também inclui chaves de API privadas, que parecem estar relacionadas às contas dos clientes, embora não esteja claro se essas chaves são acessíveis pelos clientes. O conjunto de dados inclui informações não pessoais sobre as contas dos clientes, como o status da assinatura e a inclusão em uma “lista negra.”
Segundo os registros roubados mais recentes, a violação da Shadow ocorreu logo após 28 de setembro. A empresa alega que o ataque ocorreu “no final de setembro” após um funcionário baixar um jogo Steam com malware via Discord.
Um porta-voz da Shadow, Thomas Beaufils, se recusou a comentar as descobertas, embora não tenha contestado as informações. Não está claro se a empresa comunicou a violação ao regulador de proteção de dados da França, CNIL, como exigido pela legislação europeia. A CNIL ainda não respondeu aos pedidos de comentários.
De maneira independente, a Valve recentemente implementou verificações de autenticação em dois fatores para desenvolvedores, após o comprometimento das contas de vários desenvolvedores de jogos, que foram usadas para disseminar malware. A relação entre esse incidente e a violação da Shadow ainda não foi esclarecida, e a Valve ainda não respondeu às perguntas do TechCrunch.