A Activision falhou em divulgar uma violação de dados que comprometia as informações dos funcionários para os mesmos, que só souberam do incidente pelo Twitter meses após o fato. O relatório da mídia social detalhando o hack também continha evidências sugerindo que os planos da Activision para 2023 para Call of Duty vazaram.
Veja também:
O grupo de pesquisa de segurança cibernética vx-underground relatou anteriormente que um funcionário de alto escalão da Activision foi vítima de um ataque de phishing baseado em SMS em 4 de dezembro de 2023. Depois de obter acesso à conta do Slack, os hackers conseguiram baixar vários documentos internos revelando um roteiro incompleto de 2023 para os jogos Call of Duty.
A vítima percebeu o que aconteceu depois que os invasores usaram sua conta para postar uma mensagem inflamatória em um dos canais Slack da empresa, presumivelmente depois de roubar todos os dados internos em que conseguiram, incluindo informações de contato dos funcionários. Embora a Activision não tenha divulgado a violação publicamente, também não o fez internamente, relata o TechCrunch, citando contas anônimas de dois funcionários atuais, um dos quais descreveu a situação como problemática, postulando que a empresa deveria ter notificado todos os funcionários cujos dados foram comprometidos.
De acordo com o relatório original detalhando o ataque, essa falta de comunicação foi na verdade um problema de mão dupla; o funcionário da Activision que caiu no golpe não foi o único funcionário visado pelos invasores, mas aqueles que identificaram corretamente as mensagens SMS maliciosas como tentativas de phishing também falharam em denunciá-las à equipe de segurança da empresa.
Embora não haja garantia de que isso teria evitado a violação de dados, provavelmente inibiu a resposta da Activision ao incidente, que só foi identificado depois que os invasores se revelaram voluntariamente. Além de vagos planos de produtos, a violação de dados de 2022 supostamente comprometeu nomes de funcionários, endereços de e-mail de trabalho, números de telefone e locais de escritório.
A Activision determinou que nenhum dado de jogador, código de jogo ou informação “sensível” de funcionários vazou como resultado do ataque, de acordo com um porta-voz da empresa. A declaração deles não detalhou a decisão de não comunicar o incidente aos funcionários afetados, possivelmente porque a empresa não era legalmente obrigada a fazê-lo. Em termos de impacto potencial, esta está longe de ser a pior violação de segurança que a Activision sofreu na história recente.
Os desenvolvedores de jogos, especialmente os da Fortune 500, continuam sendo um alvo popular entre os hackers. Poucas semanas após o incidente mencionado, a Riot Games foi vítima de um ataque muito mais sério, que viu atores desconhecidos exfiltrarem o código-fonte não compilado de vários de seus jogos e ferramentas internas. O estúdio posteriormente se recusou a pagar o resgate pelo código-fonte roubado de League of Legends, tendo dito isso em uma atualização recente.
