Bryknęli dane użytkowników Second Life

Skoro baczni obserwatorzy działania serwerów gry Second Life zauważyli błędną konfigurację - wykorzystali exploit'a i z serwera wyciągnęli dane dotyczące użytkowników: imiona, nazwiska, hasła dostępu, historię płatności, adresy zamieszkania w realnym, nie zaś wirtualnym, świecie.

Linden Lab, przedsiębiorstwo, które stworzyło i rozwija grę, musiało wystosować list do około 650 tys. swoich użytkowników, w którym to liście poinformowało o wycieku danych. W tym samym liście poproszono użytkowników o zmianę parametrów swojego konta (zmianę hasła).

Na witrynie gry pojawił się Second Life Security Bulletin, z którego dowiadujemy się, iż dane dotyczące kart kredytowych (niezaszyfrowane) nie zostały "skompromitowane", gdyż znajdowały się na innym serwerze. Tam nie dotarli sprawcy, którzy do ataku wykorzystali zero-day exploit'a. Trwa wewnętrzne "śledztwo" w Linden Lab. Przedstawiciele przedsiębiorstwa nie potrafią stwierdzić które z danych (dane których klientów) wyciekły do Sieci.

screenshot witryny Second Life

Screenshot witryny Second Life. O samej grze przeczytaj w felietonie Piętrowe relacje wirtualno realne w drugim życiu oraz Umowa o przeniesienie prawa do korzystania z awatarów i artefaktów.

Włamanie odkryto 6 września, list do użytkowników wysłano dwa dni później. W swoim biuletynie przedsiębiorstwo ogłosiło, że poza tym nie będzie samo kontaktować się z użytkownikami w celu podania poufnych danych, chyba, że to sami zainteresowani zainicjują komunikację (chodzi o to, by po tej kompromitacji systemu nie dawać phisherom kolejnej możliwości wyciągania poufnych danych od użytkowników - skoro przedsiębiorstwo ogłosiło, że nie będzie się kontaktować prosząc o podanie poufnych danych, to znaczy, że ci, którzy się ew. skontaktują i będą chcieli uzyskać takie dane prawdopodobnie będą mieli złe intencje i będą się chcieli podszyć pod Linden Lab).

Swoją drogą ciekawe czy przy tej okazji będzie mowa o jakichś odszkodowaniach? Kiedy użytkownicy handlują artefaktami i postaciami - producenci gier czasem niechętnie na to patrzą. Zastanawiam się, czy w odczuciu społecznym jest jakaś symetria we wzajemnych prawach i obowiązkach stron takiego kontraktu. Ja płacę i sobie gram, ty dostajesz pieniądze, udostępniasz server gry oraz rozwijasz ją, a jednocześnie chronisz moje poufne dane...

Czytaj również:

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>