Iemand heeft de vriendzoekerfunctie van Rec Room misbruikt om telefoonnummers te matchen met de gebruikersnamen van honderdduizenden spelers op het sociale gamingplatform, waardoor een database is opgebouwd die hun online identiteit rechtstreeks koppelt aan hun contactgegevens in de echte wereld.
Het incident, dat in januari plaatsvond, is niet eerder gemeld of publiekelijk erkend, behalve in een korte reactie van een medewerker van de Rec Room op een vraag op een online forum. Het houdt niet direct verband met de daaropvolgende aankondiging van het in Seattle gevestigde bedrijf zal het sociale gamingplatform sluiten 1 juni na 10 jaar in bedrijf.
In communicatie met GeekWire uitte een persoon die bekend was met het incident zijn bezorgdheid over het feit dat Rec Room nooit proactief gebruikers op de hoogte bracht wier telefoonnummers en gebruikersidentiteiten met elkaar verbonden waren door de brute-force aanval, waardoor ze zich niet bewust waren van de situatie en kwetsbaar waren voor intimidatie, phishing of andere aanvallen, vooral als het platform werd afgesloten.
In antwoord op onze vragen over het incident erkende het bedrijf dat het in januari had vernomen dat een persoon een groot aantal zoekopdrachten uitvoerde via de vriendzoeker-API. Nadat het bedrijf dit had ontdekt, zei het dat het de functie had uitgeschakeld en de gebruiker had verboden.
Rec Room zei dat het een extern juridisch en forensisch bedrijf had ingeschakeld om een onderzoek uit te voeren, waaruit bleek dat het uitschakelen van de API voldoende was en dat er geen wettelijke kennisgeving vereist was. De functie retourneerde alleen een gebruikersnaam als deze werd gekoppeld aan een telefoonnummer of e-mailadres, zei Rec Room, en onthulde geen aanvullende accountinformatie of inloggegevens.
“We nemen de veiligheid en beveiliging van gebruikers serieus en hebben robuuste maatregelen getroffen om gebruikersgegevens te beschermen”, zei een woordvoerder van Rec Room in een vervolgverklaring, eraan toevoegend dat het bedrijf “onze privacy-instellingen heeft beoordeeld en heeft bevestigd dat ze werken zoals bedoeld.”
Wat is er gebeurd: Bij het incident was er geen sprake van dat iemand inbrak op de servers van Rec Room of rechtstreeks toegang kreeg tot de database.
In plaats daarvan werd dit gedaan via de vriendzoekerfunctie van het platform, waarmee spelers hun telefooncontacten konden uploaden om te zien welke van hun vrienden al op het platform waren. Onder de motorkap accepteerde het systeem een telefoonnummer en retourneerde een Rec Room-gebruikersnaam als er een match was.
De functie is bedoeld voor individuele gebruikers die hun persoonlijke contacten controleren. Het systeem had echter geen duidelijke waarborgen om te voorkomen dat iemand het op grote schaal zou ondervragen.
Dat gebeurde volgens de insider in januari. Iemand heeft systematisch elk Amerikaans en Canadees telefoonnummer door het systeem gehaald en elke hit verzameld. Het resultaat, zo zei de persoon, was een database met bijna 279.000 records.
De database werd vervolgens aan anderen verkocht, aldus de persoon die bekend was met het incident, die zei dat het systeem dat werd gebruikt om de database te verspreiden niet inherent veilig was, waardoor deze mogelijk beschikbaar werd voor een breder publiek.
Reactie van Rec Room: Gevraagd naar de omvang van de database, zei Rec Room dat het het nummer van de bron niet herkende, maar geen eigen telling van getroffen gebruikers bood. Zonder verdere informatie is het onduidelijk of het bedrijf de omvang van de totale database of de volledige omvang van het incident heeft vastgesteld.
Rec Room zei dat er geen telefoonnummers of e-mails rechtstreeks van het bedrijf zijn verkregen.
Beantwoord een gebruikersvraag over de gebeurtenis op de Discord-server van het bedrijf op 19 februariEen medewerker van Rec Room zei dat het platform gebruikers eerder in staat had gesteld vrienden te vinden door in hun contacten te zoeken, en dat sommige gebruikers “deze functionaliteit op grote schaal misbruikten”.
In de aankondiging stond dat de functie was uitgeschakeld “uit grote voorzichtigheid”.
Waarom is het nu belangrijk: Het bedrijf heeft getroffen gebruikers niet proactief op de hoogte gebracht. Rec Room zei dat het ondersteuningsteam heeft gereageerd op spelers die contact met het bedrijf hebben opgenomen nadat ze ongevraagde teksten hadden ontvangen die verband leken te houden met de verzamelde database.
Nu het platform volgens de planning op 1 juni wordt gesloten, wordt de periode voor proactieve meldingen gesloten. Na deze datum heeft Rec Room niet langer een in-app-kanaal om zijn spelers te bereiken.
De sluiting van de recreatieruimte zelf kan het risico vergroten. Een aanvaller met de database zou de afsluiting kunnen gebruiken om overtuigende phishing-berichten te maken, bijvoorbeeld een sms of e-mail die zich voordoet als Rec Room en spelers aanmoedigt op een link te klikken om hun gegevens te exporteren voordat het platform donker wordt. De sluiting zou een dergelijke boodschap ingebouwde plausibiliteit geven.
Telefoonnummers kunnen ook worden gebruikt om echte namen en thuisadressen te vinden via openbaar beschikbare gegevens of om SIM-swapping te proberen, waarbij een aanvaller het telefoonnummer van een slachtoffer overneemt om oproepen, sms-berichten en authenticatiecodes te onderscheppen. Om dit te voorkomen kunnen gebruikers hun telefoonnummer vergrendelen via de app of website van hun mobiele provider, meestal met een pincode.
Privacy-instellingen: Een omstreden kwestie betreft de privacy-instellingen van Rec Room. Het platform bood gebruikers een schakelaar om te voorkomen dat anderen ze konden vinden via hun telefoonnummer of e-mailadres.
Maar de persoon die bekend was met het incident zei dat de instelling geen bescherming bood tegen het soort massale zoekopdrachten dat bij de aanval werd gebruikt. Deze persoon zei dat zijn eigen gegevens in de database verschenen ondanks dat de instelling was uitgeschakeld, en gaf een screenshot om deze bewering te ondersteunen.
(De persoon weigerde geïdentificeerd te worden, omdat hij bezorgd was dat het vrijgeven van zijn naam iemand in staat zou stellen de gegevens te gebruiken om zijn identiteit te koppelen aan zijn thuisadres en andere persoonlijke informatie met behulp van openbare registers.)
Gevraagd naar de privacy-instelling zei Rec Room dat het bevestigde dat het werkte zoals ontworpen.
Historische precedenten: Dit is niet de eerste keer dat een sociaal platform met dit soort incidenten wordt geconfronteerd.
In 2014 een spits gebruikte dezelfde aanpak tegen de vriendzoekerfunctie van Snapchat, die gebruikersnamen koppelt aan 4,6 miljoen telefoonnummers. Snapchat kreeg kritiek omdat het de kwetsbaarheid aanvankelijk ontkende en het duurde meer dan een week om zich te verontschuldigen, maar erkende later de inbreuk, updatete de app en stond gebruikers toe zich af te melden voor de functie.
In 2021 werd een soortgelijke techniek gebruikt een databank samenstellen van telefoonnummers en persoonlijke informatie van meer dan 530 miljoen Facebook-gebruikers. Facebook zei dat het de onderliggende bug in 2019 had opgelost, maar weigerde de getroffen gebruikers individueel op de hoogte te stellen, omdat het niet zeker kon zijn welke gebruikers op de hoogte moesten worden gesteld.
De aanpak van Rec Room kwam meer overeen met die van Facebook: dat het incident geen veiligheids- of privacyrisico met zich meebracht en dat er geen gebruikersgegevens uit zijn systemen werden verkregen.
Het gebruikersbestand van Rec Room: Rec Room trok meer dan 150 miljoen spelers aan via telefoons, consoles, pc’s en VR-headsets, en miljoenen spelers waren nog elke maand actief voordat de sluiting werd aangekondigd.
Rec Room-CEO Nick Fajt vertelde de Wall Street Journal in 2021 dat de meerderheid van de gebruikers van het platform tussen de 13 en 16 jaar oud was – wat betekent dat veel van de telefoonnummers in de verzamelde database van minderjarigen of hun ouders zouden zijn.
Bedrijfspad: Rec Room werd in 2016 gelanceerd als platform voor het bouwen en delen van virtuele werelden. Opgericht door een groep voormalige Microsoft-ingenieurs, haalde het bedrijf tijdens zijn levensduur 294 miljoen dollar aan durfkapitaal op en werd het op zijn hoogtepunt in 2021 gewaardeerd op 3,5 miljard dollar.
Maar het bedrijf heeft nooit een manier gevonden om winstgevend te worden, door vorig jaar tijdens twee ontslagrondes personeel te schrappen.
De persoon die bekend is met de zaak zei dat de ontslagen van vorig jaar een aanzienlijke impact hadden op het cyberbeveiligingsteam van het bedrijf. Het bedrijf ook heeft zijn bug bounty-programma gepauzeerd op beveiligingsplatform Bugcrowd op 10 februari, waardoor nieuwe rapporten over kwetsbaarheden worden stopgezet. Het programma is niet heropend.
Na de aankondiging van de sluiting in maart heeft Snap geselecteerde activa verworven van Rec Room, en sommige leden van het team sloten zich aan bij de hardwaredochteronderneming van het moederbedrijf van Snapchat om aan de Specs augmented reality-bril te werken. Het is niet duidelijk of iemand getroffen is De bezuinigingen van Snap vorige week.
Wat u moet weten: Rec Room-gebruikers die een telefoonnummer hebben dat aan hun account is gekoppeld, moeten zich ervan bewust zijn dat hun nummer mogelijk is gekoppeld aan hun gebruikersnaam in de verzamelde database.
Gebruikers moeten sceptisch zijn over ongevraagde teksten of e-mails met betrekking tot Rec Room of de aanstaande sluiting, vooral berichten die hen aanmoedigen om op links te klikken.
Nu het platform binnen zeven weken wordt afgesloten, zei de persoon die bekend was met het incident dat ze hopen dat het publiekelijk onder de aandacht brengen van het probleem gebruikers zal helpen zich bewust te worden van de risico’s.
