Jemand hat die Freundesuchfunktion von Rec Room missbraucht, um Telefonnummern mit den Benutzernamen von Hunderttausenden Spielern auf der Social-Gaming-Plattform abzugleichen und so eine Datenbank zusammenzustellen, die ihre Online-Identitäten direkt mit ihren realen Kontaktinformationen verbindet.
Der Vorfall, der sich im Januar ereignete, wurde bisher weder gemeldet noch öffentlich anerkannt, außer in einer kurzen Antwort eines Mitarbeiters des Aufenthaltsraums auf eine Frage in einem Online-Forum. Es steht nicht in direktem Zusammenhang mit der anschließenden Ankündigung des in Seattle ansässigen Unternehmens wird die Social-Gaming-Plattform schließen 1. Juni, nach 10 Jahren im Geschäft.
In Nachrichten an GeekWire äußerte eine mit dem Vorfall vertraute Person ihre Besorgnis darüber, dass Rec Room Benutzer, deren Telefonnummern und Benutzeridentitäten durch den Brute-Force-Angriff verknüpft wurden, nie proaktiv benachrichtigt hat – sie waren sich der Situation nicht bewusst und anfällig für Belästigung, Phishing oder andere Angriffe, insbesondere wenn die Plattform geschlossen wird.
Als Reaktion auf unsere Anfragen zu dem Vorfall gab das Unternehmen zu, im Januar erfahren zu haben, dass eine Person eine große Anzahl von Abfragen über ihre Friend-Finder-API durchgeführt habe. Nachdem das Unternehmen dies entdeckt hatte, habe es die Funktion deaktiviert und den Benutzer gesperrt.
Rec Room gab an, eine externe Rechts- und Forensikfirma mit der Durchführung einer Überprüfung beauftragt zu haben, die zu dem Schluss kam, dass die Deaktivierung der API ausreichend sei und keine behördliche Benachrichtigung erforderlich sei. Laut Rec Room gab die Funktion nur dann einen Benutzernamen zurück, wenn sie mit einer Telefonnummer oder E-Mail abgeglichen wurde, und legte keine zusätzlichen Kontoinformationen oder Anmeldeinformationen offen.
„Wir nehmen die Sicherheit der Benutzer ernst und verfügen über strenge Maßnahmen zum Schutz der Benutzerdaten“, sagte ein Sprecher von Rec Room in einer Folgeerklärung und fügte hinzu, dass das Unternehmen „unsere Datenschutzeinstellungen überprüft und bestätigt hat, dass sie wie beabsichtigt funktionieren.“
Was ist passiert: Bei dem Vorfall ging es nicht darum, dass jemand in die Server von Rec Room eingebrochen ist oder direkt auf die Datenbank zugegriffen hat.
Stattdessen geschah dies über die Freundesuchfunktion der Plattform, mit der Spieler ihre Telefonkontakte hochladen konnten, um zu sehen, welche ihrer Freunde bereits auf der Plattform waren. Unter der Haube akzeptierte das System eine Telefonnummer und gab bei einer Übereinstimmung einen Rec Room-Benutzernamen zurück.
Die Funktion wurde für einzelne Benutzer entwickelt, die ihre persönlichen Kontakte überprüfen. Allerdings verfügte das System über keine offensichtlichen Sicherheitsvorkehrungen, um zu verhindern, dass jemand es in großem Umfang abfragt.
Das sei im Januar geschehen, so die mit der Sache vertraute Person. Jemand hat systematisch alle US-amerikanischen und kanadischen Telefonnummern durch das System laufen lassen und jeden Treffer gesammelt. Das Ergebnis sei eine Datenbank mit fast 279.000 Datensätzen gewesen, sagte die Person.
Anschließend wurde die Datenbank an andere verkauft, so die mit dem Vorfall vertraute Person, die sagte, dass das System, mit dem sie verbreitet wurde, selbst nicht sicher sei, was sie möglicherweise einem breiteren Publikum zugänglich machen würde.
Antwort von Rec Room: Auf die Frage nach der Größe der Datenbank antwortete Rec Room, dass man die von der Quelle angegebene Zahl nicht erkannt habe, aber keine eigene Zahl der betroffenen Benutzer angegeben habe. Ohne zusätzliche Informationen ist unklar, ob das Unternehmen die Größe der zusammengestellten Datenbank oder das gesamte Ausmaß des Vorfalls ermittelt hat.
Rec Room sagte, dass keine Telefonnummern oder E-Mails direkt vom Unternehmen erworben wurden.
Beantwortung einer Benutzerfrage zum Vorfall auf dem Discord-Server des Unternehmens am 19. Februarsagte ein Mitarbeiter von Rec Room, die Plattform habe es Benutzern zuvor ermöglicht, Freunde durch Durchsuchen ihrer Kontakte zu finden, und dass einige Benutzer „diese Funktionalität in großem Umfang missbrauchten“.
In der Nachricht hieß es, die Funktion sei „aus großer Vorsicht“ deaktiviert worden.
Warum es jetzt wichtig ist: Das Unternehmen hat betroffene Benutzer nicht proaktiv benachrichtigt. Rec Room sagte, sein Support-Team habe auf Spieler reagiert, die das Unternehmen kontaktiert hätten, nachdem sie unerwünschte Textnachrichten erhalten hatten, die offenbar mit der zusammengestellten Datenbank in Verbindung standen.
Da die Plattform nun am 1. Juni geschlossen werden soll, schließt sich das Zeitfenster für proaktive Benachrichtigungen. Nach diesem Datum wird Rec Room keinen In-App-Kanal mehr haben, um seine Spieler zu erreichen.
Die Schließung des Aufenthaltsraums selbst könnte das Risiko erhöhen. Ein Angreifer mit Zugriff auf die Datenbank könnte die Schließung nutzen, um überzeugende Phishing-Nachrichten zu erstellen – zum Beispiel einen Text oder eine E-Mail, die sich als Rec Room ausgibt und Spieler auffordert, auf einen Link zu klicken, um ihre Daten zu exportieren, bevor die Plattform deaktiviert wird. Die Abschaltung würde einer solchen Meldung eingebaute Plausibilität verleihen.
Telefonnummern können auch verwendet werden, um echte Namen und Privatadressen anhand öffentlich zugänglicher Aufzeichnungen zu finden oder um einen SIM-Tausch zu versuchen, bei dem ein Angreifer die Telefonnummer eines Opfers übernimmt, um Anrufe, Textnachrichten und Authentifizierungscodes abzufangen. Um dies zu verhindern, können Benutzer ihre Telefonnummer über die App oder Website ihres Mobilfunkanbieters sperren, normalerweise mit einer PIN.
Datenschutzeinstellungen: Ein Streitpunkt betrifft die Datenschutzeinstellungen von Rec Room. Die Plattform bot Benutzern eine Umschaltfunktion, um zu verhindern, dass andere sie anhand der Telefonnummer oder E-Mail-Adresse finden.
Die mit dem Vorfall vertraute Person sagte jedoch, die Einstellung schütze nicht vor der Art von Massenabfragen, die bei dem Angriff verwendet wurden. Diese Person sagte, dass ihre eigenen Daten in der Datenbank auftauchten, obwohl die Einstellung deaktiviert war, und lieferte einen Screenshot, der diese Behauptung untermauerte.
(Die Person lehnte es ab, identifiziert zu werden, und verwies auf Bedenken, dass die Veröffentlichung ihres Namens es jemandem ermöglichen könnte, die Daten zu verwenden, um ihre Identität mithilfe öffentlicher Aufzeichnungen mit ihrer Privatadresse und anderen persönlichen Daten in Verbindung zu bringen.)
Auf die Privatsphäre-Einstellung angesprochen, sagte Rec Room, es habe bestätigt, dass sie wie geplant funktionierte.
Historische Präzedenzfälle: Es ist nicht das erste Mal, dass eine soziale Plattform mit einem solchen Vorfall konfrontiert wird.
Im Jahr 2014 ein Angreifer habe den gleichen Ansatz verwendet gegen die Freundesuchfunktion von Snapchat, die Benutzernamen mit 4,6 Millionen Telefonnummern abgleicht. Snapchat wurde kritisiert, weil es die Sicherheitslücke zunächst ignorierte, und brauchte mehr als eine Woche, um sich zu entschuldigen. Später gab es den Verstoß jedoch zu, aktualisierte seine App und erlaubte Benutzern, die Funktion zu deaktivieren.
Im Jahr 2021 kam eine ähnliche Technik zum Einsatz eine Datenbank zusammenstellen von Telefonnummern und persönlichen Informationen von mehr als 530 Millionen Facebook-Nutzern. Facebook sagte, es habe den zugrunde liegenden Fehler im Jahr 2019 behoben, lehnte es jedoch ab, betroffene Benutzer einzeln zu benachrichtigen, da es nicht sicher sein könne, welche Benutzer benachrichtigt werden müssten.
Der Ansatz von Rec Room ähnelte eher dem von Facebook: Es wurde behauptet, dass der Vorfall kein Sicherheits- oder Datenschutzrisiko darstellte und keine Benutzerdaten von seinen Systemen erfasst wurden.
Benutzerbasis von Rec Room: Rec Room zog mehr als 150 Millionen lebende Spieler auf Telefonen, Konsolen, PCs und VR-Headsets an, wobei jeden Monat noch Millionen aktiv waren, bevor die Schließung angekündigt wurde.
Nick Fajt, CEO von Rec Room sagte dem Wall Street Journal im Jahr 2021 dass der Großteil der Nutzer der Plattform zwischen 13 und 16 Jahre alt war – was bedeutet, dass viele der Telefonnummern in der zusammengestellten Datenbank Minderjährigen oder deren Eltern gehören würden.
Der Weg des Unternehmens: Rec Room wurde 2016 als Plattform zum Aufbau und Teilen virtueller Welten eingeführt. Das von einer Gruppe ehemaliger Microsoft-Ingenieure gegründete Unternehmen sammelte im Laufe seines Bestehens Risikokapital in Höhe von 294 Millionen US-Dollar und hatte auf seinem Höhepunkt im Jahr 2021 einen Wert von 3,5 Milliarden US-Dollar.
Aber das Unternehmen hat nie einen Weg gefunden, profitabel zu werden, und hat letztes Jahr in zwei Entlassungsrunden Personal abgebaut.
Die mit der Angelegenheit vertraute Person sagte, die Entlassungen im letzten Jahr hätten erhebliche Auswirkungen auf das Cybersicherheitsteam des Unternehmens gehabt. Das Unternehmen auch hat sein Bug-Bounty-Programm pausiert auf der Sicherheitsplattform Bugcrowd am 10. Februar und stoppte neue Schwachstellenmeldungen. Das Programm wurde nicht wieder geöffnet.
Nach der Ankündigung der Abschaltung im März hat Snap ausgewählte Vermögenswerte erworben von Rec Room, und einige Mitglieder des Teams schlossen sich der Hardware-Tochtergesellschaft der Snapchat-Muttergesellschaft an, um an deren Augmented-Reality-Brille Specs zu arbeiten. Es ist nicht klar, ob welche davon betroffen waren Snaps Kürzungen letzte Woche.
Was Sie wissen sollten: Benutzer von Aufenthaltsräumen, die eine Telefonnummer mit ihrem Konto verknüpft haben, sollten sich darüber im Klaren sein, dass ihre Nummer möglicherweise mit ihrem Benutzernamen in der zusammengestellten Datenbank verknüpft wurde.
Benutzer sollten allen unerwünschten Texten oder E-Mails im Zusammenhang mit Rec Room oder der bevorstehenden Schließung skeptisch gegenüberstehen, insbesondere Nachrichten, in denen sie aufgefordert werden, auf Links zu klicken.
Da die Plattform in weniger als sieben Wochen geschlossen wird, sagte die mit dem Vorfall vertraute Person, sie hoffe, dass die öffentliche Aufmerksamkeit auf das Problem den Benutzern helfen werde, sich der Risiken bewusst zu werden.
