La violation des données d'Activision expose des informations sur les employés et les jeux

La violation de données a eu lieu en décembre 2022

Activision, un géant du développement de jeux, a été victime d'une violation de données au début du mois de décembre 2022. Les pirates, qui ont réussi à accéder aux systèmes internes de l'entreprise en piégeant un employé avec un SMS de hameçonnage, ont pu extraire des documents sensibles sur le lieu de travail, notamment des informations sur les employés et les calendriers de publication des contenus jusqu'au 17 novembre 2023.

Selon Activision, aucune donnée sensible des employés, ainsi qu'aucun code de jeu ou donnée de joueur n'ont été récupérés et l'incident a été résolu rapidement. Cependant, selon les chercheurs en sécurité de vx-underground, les pirates ont réussi à accéder au compte Slack d'un employé d'Activision le 2 décembre et ont essayé de piéger d'autres employés pour qu'ils cliquent sur des liens malveillants.

En règle générale, les pirates ciblent des industries et des professionnels particuliers dans des secteurs tels que la technologie et la cybersécurité. En effet, les employés sont requis pour réaliser des attaques d'ingénierie sociale et des injections supplémentaires, des attaques que les cybercriminels planifient. Ces techniques incluent même la publicité pour des outils particuliers dont les professionnels se servent et qu'ils cherchent à se procurer. Restez vigilants.

Des informations personnelles d'employés auraient été divulguées

Si Activision n'a pas encore fait part de la violation de données à ses employés, dont certains ont pu se faire voler leurs données, vx-underground a vérifié la légitimité de la violation de données. D'après les chercheurs en sécurité, les informations récupérées sur les employés incluent les noms complets, les adresses électroniques et les numéros de téléphone des entreprises, les montants des offres d'emploi, les lieux de travail, etc.

On prétend que le piratage ne concernait que l'ordinateur de cet employé, mais vu les responsabilités attribuées à un employé des RH, l'ordinateur en question contenait les coordonnées de tous les employés d'Activision. Toutefois, Activision assure qu'aucune donnée des joueurs/utilisateurs n'a été compromise.

The security of our data is paramount, and we have comprehensive information security protocols in place to ensure its confidentiality. On December 4, 2022, our information security team swiftly addressed an SMS phishing attempt and quickly resolved it. Following a thorough investigation, we determined that no sensitive employee data, game code, or player data was accessed.

La faille de sécurité a aussi permis de révéler les plans des prochains DLC de Modern Warfare II, Call of Duty 2023 (nom de code Jupiter) et Call of Duty 2024 (nom de code Cerberus). Les informations dévoilées provenaient de documents marketing tandis que l'environnement de développement n'a pas été affecté par la faille. Si certaines des informations obtenues d'Activision sont aujourd'hui obsolètes, la violation n'en reste pas moins importante, car les données des employés et les calendriers de sortie ont été exposés.

Activision assure qu'aucune information sensible n'a été volée

Le siège social d'Activision est situé en Californie, où il existe une loi sur le signalement des violations de données qui impose aux entreprises d'informer les victimes de violations de données si 500 citoyens de l'État ou plus sont concernés. La loi définit les «informations personnelles» comme étant les numéros de sécurité sociale, les autres formes d'identification comme les numéros de permis de conduire, les cartes d'identité californiennes, les numéros d'identification fiscale, les numéros de passeport, les numéros d'identification militaire ou d'autres numéros d'identification uniques figurant sur un document gouvernemental généralement utilisé pour vérifier l'identité d'une personne spécifique, les données d'assurance médicale et de santé, les numéros de carte de crédit et les données biométriques et génétiques.

Le porte-parole de la société Activision a précisé qu'il n'existe aucune obligation pour une entreprise de fournir une notification lorsqu'il n'y a aucune preuve que les données sensibles soient atteintes. Toutefois, dans la mesure où la violation a révélé des informations sur les employés, notamment les noms complets et les adresses électroniques de l'entreprise, Activision peut être amené à informer ses employés et les autorités de réglementation de la violation. La société est également sur le point d'être rachetée par Microsoft dans le cadre d'une transaction évaluée à 68,7 milliards de dollars, ce qui pourrait compliquer davantage les choses.

Activision n'a pas encore informé ses employés de la violation, ce qui risque de poser problème si leurs données ont bien été dérobées. L'entreprise peut également être tenue d'informer les autorités réglementaires de la violation, du fait qu'elle a exposé les données des employés. Cette violation souligne l'importance des mesures de cybersécurité ainsi que la nécessité pour les entreprises de considérer sérieusement les violations de données.