Firma Activision doznała ogromnego wycieku danych – nie powiadomiła pracowników przez wiele miesięcy

• W grudniu 2022 roku nieznani sprawcy przeprowadzili phishing na pracownika Activision, co pozwoliło im uzyskać dostęp do niektórych wewnętrznych danych pracowniczych i do gier.
• Firma nie ujawniła naruszenia aż do połowy lutego 2023 roku – do czasu, gdy grupa badająca cyberbezpieczeństwo i malware opublikowała zrzuty ekranu skradzionych danych na Twitterze.
• Activision twierdzi, że szybko zlokalizowali próbę phishingu i naprawili lukę w bezpieczeństwie, ale prawdopodobnie dane pracowników zostały skradzione, co może negatywnie wpłynąć na ich fuzję z Microsoftem oraz na reputację firmy.

Spis Treści

1. Atak phishingowy w Activision
2. Rzecznik prasowy łagodzi sytuację
3. Niepoinformowanie pracowników o wycieku to złamanie prawa w Kalifornii

Atak phishingowy w Activision

Niedawno świat obiegła informacja o ataku hakerskim na jednego z największych wydawców gier wideo na świecie – Activision. 4 grudnia 2022 roku nieznani sprawcy przeprowadzili phishing na pracownika firmy i uzyskali dostęp do niektórych wewnętrznych danych pracowniczych oraz gier.

Niestety naruszenie to nie zostało ujawnione przez firmę. W połowie lutego 2023 roku o wycieku doniosła de facto grupa badająca cyberbezpieczeństwo i malware o nazwie vx-underground, która opublikowała na Twitterze zrzuty ekranów ze skradzionymi danymi oraz wiadomości hakerów na wewnętrznym kanale Slack Activision.

Rzecznik prasowy stara się łagodzić sytuację

Co gorsza, firma Activision nie powiadomiła swoich pracowników ani o naruszeniu, ani o tym, czy ich dane mogły zostać skradzione. Według jej rzecznika prasowego pracodawca nie ma wymogu informowania pracowników o naruszeniu, jeśli nie ma twardych dowodów na to, że hakerzy uzyskali dostęp do ich danych wrażliwych. Niemniej jednak wszystko wskazuje na to, że takie dowody istnieją. Hakerzy najprawdopodobniej zdobyli dostęp do arkuszy kalkulacyjnych zawierających takie dane pracowników, jak pełne nazwiska, numery telefonów, firmowe adresy e-mail oraz w niektórych przypadkach adresy miejsca pracy.

Warto pamiętać, że Activision jest w trakcie fuzji z Microsoftem w ramach umowy o wartości 68,7 miliarda dolarów. Urzędnicy w USA, Unii Europejskiej i Wielkiej Brytanii nie patrzą przychylnie na ten układ. Dlatego nie wiadomo, czy wyciek danych nie wpłynie na ich decyzję. Zastanawia też, jakie będą skutki tego ataku dla przyszłych działań Microsoftu w zakresie cyberbezpieczeństwa.

Niepoinformowanie pracowników o wycieku to złamanie prawa w Kalifornii

W firmie Activision twierdzą, że szybko zlokalizowali próbę phishingu i naprawili lukę w bezpieczeństwie, a hakerzy nie uzyskali dostępu do danych wrażliwych pracowników, kodu gry ani danych graczy. Nie wydaje się to jednak zgodne z prawdą i może jeszcze bardziej pogrążyć zarząd giganta. Tym bardziej że, jako firmę z siedzibą w Kalifornii, Activision obowiązuje lokalne prawo podobne do Europejskiego RODO.

Kalifornijskie prawo o ochronie danych nakazuje firmom powiadamiać ofiary wszelkich wycieków czy naruszeń, jeśli dotkniętych tym zostało 500 lub więcej mieszkańców stanu oraz nakazuje ujawniać wyciek w możliwie najszybszym czasie i bez nieuzasadnionych opóźnień. Prawo definiuje „dane osobowe" jako numer ubezpieczenia społecznego i inne formy identyfikacji, takie jak numer prawa jazdy czy karty identyfikacyjnej Kalifornii, numer identyfikacji podatkowej, numer paszportu, numer identyfikacji wojskowej lub inny unikalny numer identyfikacji, ale również imię i nazwisko oraz osobisty numer telefonu.

Firma Activision musi się więc zmierzyć nie tylko z problemem nadszarpniętego wizerunku, lecz także z ewentualnymi perturbacjami prawnymi i pozwami.