Iemand heeft de vriendzoekerfunctie van Rec Room misbruikt om telefoonnummers te matchen met de gebruikersnamen van honderdduizenden spelers op het sociale gamingplatform, waardoor een database is samengesteld die hun online identiteit rechtstreeks koppelt aan hun echte contactgegevens.
Het incident, dat in januari plaatsvond, is niet eerder gemeld of publiekelijk erkend, behalve in een korte reactie van een medewerker van de Rec Room op een vraag op een online forum. Het houdt niet direct verband met de daaropvolgende aankondiging van het in Seattle gevestigde bedrijf zal het sociale gamingplatform sluiten 1 juni, na 10 jaar in het bedrijfsleven.
In berichten aan GeekWire uitte een persoon die bekend was met het incident zijn bezorgdheid over het feit dat Rec Room gebruikers nooit proactief op de hoogte heeft gesteld van wie de telefoonnummers en gebruikersidentiteiten waren gekoppeld via de brute-force-aanval, waardoor ze zich niet bewust waren van de situatie en kwetsbaar waren voor intimidatie, phishing of andere aanvallen, vooral als het platform werd afgesloten.
In reactie op onze vragen over het incident erkende het bedrijf dat het in januari had vernomen dat een persoon een groot aantal zoekopdrachten uitvoerde via de vriendzoeker-API. Nadat het bedrijf dit had ontdekt, heeft het de functie uitgeschakeld en de gebruiker verboden.
Rec Room zei dat het een extern juridisch en forensisch bedrijf had ingeschakeld om een onderzoek uit te voeren, waaruit bleek dat het uitschakelen van de API voldoende was en dat er geen kennisgeving aan de regelgevende instanties nodig was. De functie retourneerde alleen een gebruikersnaam als deze werd gekoppeld aan een telefoonnummer of e-mailadres, zei Rec Room, en gaf geen aanvullende accountinformatie of inloggegevens vrij.
“We nemen de veiligheid en beveiliging van gebruikers serieus en hebben robuuste maatregelen genomen om gebruikersgegevens te beschermen”, zei een woordvoerder van Rec Room in een vervolgverklaring, eraan toevoegend dat het bedrijf “onze privacy-instellingen heeft beoordeeld en heeft bevestigd dat ze werken zoals bedoeld.”
Wat is er gebeurd: Bij het incident was er geen sprake van dat iemand inbrak op de servers van Rec Room of rechtstreeks toegang kreeg tot de database.
In plaats daarvan gebeurde dit via de vriendzoekerfunctie van het platform, waarmee spelers hun telefooncontacten konden uploaden om te zien welke van hun vrienden al op het platform waren. Onder de motorkap accepteerde het systeem een telefoonnummer en retourneerde een Rec Room-gebruikersnaam als er een match was.
De functie is ontworpen voor individuele gebruikers die hun persoonlijke contacten controleren. Het systeem had echter geen duidelijke waarborgen om te voorkomen dat iemand het op grote schaal zou ondervragen.
Dat is wat er in januari gebeurde, volgens een persoon die bekend is met de zaak. Iemand heeft systematisch alle Amerikaanse en Canadese telefoonnummers door het systeem gehaald en elke hit verzameld. Het resultaat, zo zei de persoon, was een database met bijna 279.000 records.
De database werd vervolgens aan anderen verkocht, aldus de persoon die bekend was met het incident, die zei dat het systeem waarmee de database werd verspreid zelf niet veilig was, waardoor deze mogelijk toegankelijk werd voor een breder publiek.
Reactie van Rec Room: Toen hem werd gevraagd naar de omvang van de database, zei Rec Room dat het het door de bron verstrekte aantal niet herkende, maar geen eigen telling van getroffen gebruikers bood. Zonder aanvullende informatie is het onduidelijk of het bedrijf de omvang van de verzamelde database of de volledige omvang van het incident heeft vastgesteld.
Rec Room zei dat er geen telefoonnummers of e-mails rechtstreeks van het bedrijf zijn verkregen.
Reageren op een gebruikersvraag over het incident op de Discord-server van het bedrijf op 19 februarizei een medewerker van Rec Room dat het platform gebruikers eerder in staat had gesteld vrienden te vinden door hun contacten te doorzoeken, en dat sommige gebruikers “deze functionaliteit op grote schaal misbruikten”.
In het bericht stond dat de functie was uitgeschakeld ‘uit grote voorzichtigheid’.
Waarom het nu belangrijk is: Het bedrijf heeft getroffen gebruikers niet proactief op de hoogte gebracht. Rec Room zei dat het ondersteuningsteam heeft gereageerd op spelers die contact hebben opgenomen met het bedrijf nadat ze ongevraagde teksten hadden ontvangen die blijkbaar verband hielden met de verzamelde database.
Nu het platform volgens de planning op 1 juni wordt gesloten, wordt de periode voor proactieve meldingen gesloten. Na die datum heeft Rec Room niet langer een in-app-kanaal om zijn spelers te bereiken.
De sluiting van Rec Room zelf zou het risico kunnen vergroten. Een aanvaller met de database zou de sluiting kunnen gebruiken om overtuigende phishing-berichten te maken, bijvoorbeeld een sms of e-mail die de identiteit van Rec Room nabootst en spelers aanspoort op een link te klikken om hun gegevens te exporteren voordat het platform donker wordt. De sluiting zou een dergelijke boodschap ingebouwde plausibiliteit geven.
Telefoonnummers kunnen ook worden gebruikt om echte namen en thuisadressen te vinden via openbaar beschikbare gegevens, of om SIM-swap uit te voeren, waarbij een aanvaller het telefoonnummer van een slachtoffer overneemt om oproepen, sms-berichten en authenticatiecodes te onderscheppen. Gebruikers kunnen hun telefoonnummer vergrendelen via de app of website van hun mobiele provider, meestal met een pincode, om dit te helpen voorkomen.
Privacy-instellingen: Eén geschilpunt betreft de privacy-instellingen van Rec Room. Het platform bood gebruikers een schakelaar om te voorkomen dat anderen ze konden vinden op telefoonnummer of e-mailadres.
Maar de persoon die bekend was met het incident zei dat de instelling geen bescherming bood tegen het soort massale zoekopdrachten dat bij de aanval werd gebruikt. Deze persoon zei dat zijn eigen gegevens in de database verschenen ondanks dat de instelling was uitgeschakeld, en gaf een screenshot die deze bewering ondersteunde.
(De persoon weigerde geïdentificeerd te worden, omdat hij bezorgd was dat het publiceren van zijn naam iemand in staat zou stellen de gegevens te gebruiken om zijn identiteit te koppelen aan zijn thuisadres en andere persoonlijke gegevens met behulp van openbare registers.)
Gevraagd naar de privacy-instelling zei Rec Room dat het bevestigde dat het werkte zoals ontworpen.
Historische precedenten: Het is niet de eerste keer dat een sociaal platform met dit soort incidenten wordt geconfronteerd.
In 2014, een aanvaller gebruikte dezelfde aanpak tegen de vriendzoekfunctie van Snapchat, die gebruikersnamen koppelt aan 4,6 miljoen telefoonnummers. Snapchat kreeg kritiek omdat het de kwetsbaarheid aanvankelijk had afgewezen en het meer dan een week duurde om zich te verontschuldigen, maar erkende later de inbreuk, updatete de app en liet gebruikers zich afmelden voor de functie.
In 2021 werd een soortgelijke techniek gebruikt een database samenstellen van telefoonnummers en persoonlijke informatie van meer dan 530 miljoen Facebook-gebruikers. Facebook zei dat het de onderliggende fout in 2019 had verholpen, maar weigerde de getroffen gebruikers individueel op de hoogte te stellen, omdat het niet zeker kon zijn welke gebruikers op de hoogte moesten worden gesteld.
De aanpak van Rec Room lijkt meer op die van Facebook: zij stelt dat het incident geen veiligheids- of privacyrisico met zich meebrengt en dat er geen gebruikersgegevens uit de systemen zijn verkregen.
Het gebruikersbestand van Rec Room: Rec Room trok meer dan 150 miljoen spelers aan via telefoons, consoles, pc’s en VR-headsets, waarvan er elke maand nog miljoenen actief waren voordat de sluiting werd aangekondigd.
Rec Room-CEO Nick Fajt vertelde de Wall Street Journal in 2021 dat het grootste deel van de gebruikers van het platform tussen de 13 en 16 jaar oud was – wat betekent dat veel van de telefoonnummers in de verzamelde database van minderjarigen of hun ouders zouden zijn.
Het pad van het bedrijf: Rec Room werd in 2016 gelanceerd als een platform voor het bouwen en delen van virtuele werelden. Opgericht door een groep voormalige Microsoft-ingenieurs, haalde het bedrijf tijdens zijn levensduur 294 miljoen dollar aan durfkapitaal op, en werd het op zijn hoogtepunt in 2021 gewaardeerd op 3,5 miljard dollar.
Maar het bedrijf heeft nooit een manier gevonden om winstgevend te worden, door vorig jaar tijdens twee ontslagrondes personeel te schrappen.
De persoon die bekend is met de zaak zei dat de ontslagen van vorig jaar aanzienlijke gevolgen hadden voor het cyberbeveiligingsteam van het bedrijf. Het bedrijf ook heeft zijn bugbounty-programma gepauzeerd op het beveiligingsplatform Bugcrowd op 10 februari, waardoor nieuwe rapporten over kwetsbaarheden worden stopgezet. Het programma is niet heropend.
Na de aankondiging van de sluiting in maart heeft Snap geselecteerde activa verworven van Rec Room, en sommige leden van het team sloten zich aan bij de hardwaredochteronderneming van het moederbedrijf van Snapchat om aan de Specs augmented reality-bril te werken. Het is niet duidelijk of er mensen zijn getroffen De bezuinigingen van Snap vorige week.
Wat u moet weten: Rec Room-gebruikers die een telefoonnummer aan hun account hebben gekoppeld, moeten zich ervan bewust zijn dat hun nummer mogelijk is gekoppeld aan hun gebruikersnaam in de samengestelde database.
Gebruikers moeten sceptisch zijn over ongevraagde sms’jes of e-mails met betrekking tot Rec Room of de aanstaande sluiting, met name berichten waarin hen wordt aangespoord op links te klikken.
Nu het platform over minder dan zeven weken wordt gesloten, zei de persoon die bekend was met het incident dat ze hopen dat het brengen van publieke aandacht voor het probleem gebruikers zal helpen alert te zijn op de risico’s.
