Comment hacker le jeu vidéo très populaire Roblox ? En soudoyant un employé pardi
Pourquoi utiliser des techniques complexes quand il suffit de soudoyer la bonne personne ?
Moins connu que Minecraft, Roblox suit le même principe et revendique 100 millions de joueurs mensuels sur PC, Xbox One et mobile. Le jeu -- qui permet de créer une multitude de mini-jeux -- est particulièrement populaire auprès des enfants, et plus généralement des mineurs : les données personnelles auxquelles le hacker a accédé sont donc particulièrement sensibles.
Le pirate aurait pu revendre des comptes, faire du chantage, mettre en place du phishing pour lancer d'autres attaques, ou encore revendre les objets en jeu. Ces objets peuvent d’ailleurs avoir une grande valeur en monnaie réelle...
L'humain, maillon faible de la chaîne de sécurité
Dans sa démonstration le hacker a contacté Linkmon99, un youtubeur suivi par plus de 400 000 abonnés, connu pour le nombre d'objets rares qu'il possède sur le jeu. Le pirate lui a envoyé un email en expliquant qu'il connaissait son adresse email, que le créateur n'utilise pourtant que pour son compte Roblox. Le hacker s'en est arrêté là, mais il aurait pu tenter de pirater le célèbre compte et de revendre pour de grandes sommes les objets en jeu.
Avant de partager ses méfaits à Vice, le pirate a tenté de signaler la faille sur la plateforme de bug bounty HackerOne, où Roblox dispose d'un espace. Il espérait gagner quelques centaines voire milliers d'euros en échange de sa trouvaille. Seulement, sa demande de prime a été refusée, les modérateurs jugeant comme malveillante sa démarche. Et pour cause : le bug bounty, qui sert à rémunérer les hackers en fonction des vulnérabilités qu'ils trouvent s'inscrit dans un cadre défini par l'entreprise, et si les chercheurs sortent de ce cadre, ils s'aventurent sur un terrain illégal, qui peut mener à des poursuites de la part de l'entreprise.
« Nous avons immédiatement pris en main la situation et prévenu individuellement le très petit nombre de clients touchés », a commenté Roblox. L'entreprise a également confirmé que le hack avait été permis par une manipulation et non une erreur technique. Cet exemple est une nouvelle preuve que les humains sont les principales sources de fuites des systèmes informatiques.