El 4 de diciembre, los piratas informáticos suplantaron con éxito a un empleado del gigante de los juegos Activision y obtuvieron acceso a algunos datos internos de los empleados y del juego.
Esta violación de datos no se reveló hasta el pasado fin de semana, cuando el grupo de investigación de ciberseguridad y malware vx-underground publicado en Twitter capturas de pantalla de los datos robados, así como los mensajes de los piratas informáticos en el canal Slack interno de Activision.
Pero el público no fue el único sorprendido por la noticia de la violación. Activision aún tiene que notificar a sus propios empleados sobre la violación de datos y si sus datos fueron robados, según dos empleados actuales de Activision que hablaron bajo condición de anonimato, ya que no se les permitió hablar con la prensa.
«Esto es un problema. Si hay información de los empleados involucrada, deberían haber revelado la violación”, dijo uno de los empleados a TechCrunch.
El portavoz de Activision, Joseph Christinat, le dijo a TechCrunch que «no hay requisitos para que una empresa notifique cuando no hay evidencia de acceso a datos confidenciales».
En respuesta a la noticia de la violación, Christinat había compartido previamente una declaración que decía que Activision respondió «rápidamente» a un intento de phishing por SMS y «lo resolvió rápidamente». Según el comunicado, la compañía «determinó que no se accedió a datos confidenciales de empleados, códigos de juegos o datos de jugadores».
El hacker o los hackers pudieron acceder a una serie de hojas de cálculo que incluían datos de los empleados como nombres completos, algunos números de teléfono, direcciones de correo electrónico corporativas y, en algunos casos, las oficinas donde trabajan, según una copia de los datos robados, que vx-underground compartido con TechCrunch.
Activision, que publica juegos domésticos como Call of Duty y World of Warcraft, está en proceso de ser adquirida por Microsoft en un acuerdo valorado en 68.700 millones de dólares. Los reguladores de EE. UU., la Unión Europea y el Reino Unido se han opuesto al acuerdo.
Activision, que también es propietaria de Blizzard, tiene su sede en California. El estado tiene una ley de notificación de violación de datos que requiere que las empresas notifiquen a las víctimas de violaciones de datos cuando 500 o más residentes del estado se vean afectados, y exige que “la divulgación se haga en el momento más oportuno posible y sin demoras injustificadas, de conformidad con el derecho legítimo”. necesidades de la aplicación de la ley”.
La ley define “información personal” para incluir el número de Seguro Social; otras formas de identificación, como el número de licencia de conducir; tarjeta de identificación de California; “número de identificación fiscal, número de pasaporte, número de identificación militar u otro número de identificación único emitido en un documento gubernamental comúnmente utilizado para verificar la identidad de un individuo específico”; datos médicos y de seguros de salud; números de tarjetas de crédito; y datos biométricos y genéticos.
Esta historia se actualizó para incluir un comentario de un portavoz de Activision.
¿Tiene más información sobre esta violación de datos? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.