Em 4 de dezembro, os hackers fizeram o phishing de um funcionário da gigante dos jogos Activision, obtendo acesso a alguns funcionários internos e dados do jogo.
Essa violação de dados não foi divulgada até o fim de semana passado, quando o grupo de pesquisa de segurança cibernética e malware vx-underground postou no Twitter capturas de tela dos dados roubados, bem como as mensagens dos hackers no canal Slack interno da Activision.
Mas o público não foi o único pego de surpresa pela notícia da violação. A Activision ainda não notificou seus próprios funcionários sobre a violação de dados e se seus dados foram roubados, de acordo com dois funcionários atuais da Activision que falaram sob condição de anonimato, pois não tinham permissão para falar com a imprensa.
“Isto é um problema. Se houver informações de funcionários envolvidas, eles deveriam ter divulgado a violação”, disse um dos funcionários ao TechCrunch.
O porta-voz da Activision, Joseph Christinat, disse ao TechCrunch que “não há requisitos para uma empresa notificar quando não há evidências de acesso a dados confidenciais”.
Em resposta às notícias da violação, Christinat havia compartilhado anteriormente uma declaração dizendo que a Activision respondeu “rapidamente” a uma tentativa de phishing por SMS e “resolveu rapidamente”. De acordo com o comunicado, a empresa “determinou que nenhum dado sensível de funcionários, código de jogo ou dados de jogadores foi acessado”.
O hacker ou hackers conseguiram acessar uma série de planilhas que continham dados de funcionários como nomes completos, alguns números de telefone, endereços de e-mail corporativos e, em alguns casos, os escritórios onde trabalham, de acordo com uma cópia dos dados roubados, que vx-underground A Activision, que publica jogos domésticos como Call of Duty e World of Warcraft, está em processo de aquisição pela Microsoft em um negócio avaliado em US$ 68,7 bilhões. Reguladores nos EUA , União Europeia e Reino Unido se opuseram ao acordo.
A Activision, que também é dona da Blizzard, está sediada na Califórnia. O estado tem uma lei de notificação de violação de dados que exige que as empresas notifiquem as vítimas de violações de dados quando 500 ou mais residentes do estado forem afetados e determina que “a divulgação deve ser feita no tempo mais rápido possível e sem atraso injustificado, de acordo com o legítimo necessidades da aplicação da lei”.
A lei define “informações pessoais” para incluir o número da Segurança Social; outras formas de identificação, como número da carteira de motorista; Carteira de identidade da Califórnia; “número de identificação fiscal, número de passaporte, número de identificação militar ou outro número de identificação único emitido em documento governamental comumente usado para verificar a identidade de um indivíduo específico”; dados médicos e de seguros de saúde; números de cartão de crédito; e dados biométricos e genéticos.
Esta história foi atualizada para incluir um comentário de um porta-voz da Activision.
Fonte Leia mais: https://techcrunch.com/2023/02/21/activision-did-not-notify-employees-of-data-breach-for-months/
