2K confirme un vol de données utilisateur et leur mise en vente

Des joueurs de productions 2K se sont fait dérober des données personnelles suite à un piratage découvert le mois passé. Des informations qui ont ensuite été mises en vente, comme l’a récemment confirmé l’entreprise américaine dans un courriel adressé aux malheureux utilisateurs.

Le mois dernier, 2K, filiale de Take-Two Interactive, avait déclaré qu’une faille dans son système de sécurité clientèle avait pu conduire un certain nombre de comptes à être compromis. Les utilisateurs avaient alors été invités à modifier leur mot de passe.

Crédit YouTube.

Et depuis le 6 octobre dernier, des joueurs recevraient un courriel de 2K quant au vol de leurs données personnelles et à leur mise en vente. Un utilisateurs de reddit a partagé le message qu’il dit avoir reçu, et qui débute de la sorte : “Nous vous contactons pour vous informer qu’un tiers non autorisé a obtenu l’accès à un volume limité de vos données personnelles détenues dans le système de gestion de 2K et en a fait une copie, puis les a mises en vente. Nous tenons à souligner d’emblée que la protection et la sécurité des données personnelles sont très importantes pour nous, et nous regrettons profondément que cela se soit produit.”

Piratage de 2K : des liens malveillants envoyés à des joueurs

Le message se poursuit en indiquant que c’est le 19 septembre que 2K a été informée de l’intrusion.

“Après une enquête plus approfondie, nous avons découvert que le tiers non autorisé a accédé et copié certaines des données personnelles que nous enregistrons à votre sujet lorsque vous nous contactez pour obtenir de l’aide : le nom donné lorsque vous nous contactez, l’adresse électronique, le numéro d’identification du service d’assistance, le ‘gamertag’ et les détails de la console. Rien n’indique que vos informations financières ou vos mots de passe conservés sur nos systèmes aient été compromis.”

2K ajoute que ce tiers malveillant aurait envoyé à certains joueurs un lien censé conduire à une mise à jour logicielle, alors que cliquer dessus revient à donner accès à des informations confidentielles tels que des mots de passe. L’entreprise détaille ensuite sa réaction :

“Après avoir découvert l’incident, nous avons immédiatement lancé une enquête médico-légale approfondie avec l’aide d’experts externes en cybersécurité et avons rapidement pris des mesures pour résoudre le problème. Nous avons notamment mis le portail d’assistance hors ligne le temps de mener une enquête approfondie et de maîtriser l’incident. Nous avons déjà contacté toutes les personnes qui ont reçu des liens malveillants et avons signalé l’incident aux autorités compétentes en matière de protection des données. Nous restons également en contact avec les organismes d’application de la loi concernés.”

Entre autres mesures de vigilance conseillées, 2K mentionne une authentification multifactorielle (MFA) ne reposant pas sur une vérification par SMS mais requérant l’installation d’une application. Il est aussi rappelé que jamais 2K ne demandera des mots de passe ou d’autres informations personnelles à ses clients.

Source : reddit (via VGC)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.