Più di 600 mila account Roblox sono finiti nelle mani di un gruppo di hacker, in quella che si sta rivelando una delle operazioni di furto di credenziali più vaste degli ultimi tempi. La piattaforma di gioco online, usata da milioni di persone in tutto il mondo per creare e giocare videogiochi, è stata colpita da un data breach di proporzioni enormi, e la notizia sta comprensibilmente mettendo in allarme la comunità degli utenti.
A fare luce sull’accaduto è stata la Polizia ucraina, che ha arrestato tre individui ritenuti responsabili dell’operazione. Stando alle informazioni emerse, il gruppo avrebbe compromesso oltre 610.000 account Roblox, tra cui almeno 357 profili considerati di alto valore. Il ricavo stimato dalla vendita degli accessi rubati si aggira intorno ai 210 mila euro. Numeri che danno la misura di quanto sia stata organizzata e redditizia questa operazione criminale.
Ma come è stato possibile tutto questo? Gli esperti di Malwarebytes, azienda specializzata in soluzioni per la sicurezza informatica, hanno ricostruito il meccanismo. Gli hacker hanno diffuso malware mascherato da strumenti per migliorare l’esperienza di gioco su Roblox. In pratica, software che sembravano mod o tool utili, ma che in realtà avevano il solo scopo di rubare le credenziali di accesso dai dispositivi infettati. Una volta raccolti i dati, i profili venivano messi in vendita attraverso un sito web russo e comunità online chiuse, con prezzi variabili in base al valore dell’account.
Come agire se il proprio account Roblox è stato compromesso
Per chi teme di essere tra le vittime di questo furto di account Roblox, gli esperti di Malwarebytes hanno indicato una serie di passaggi da seguire. Il primo passo è verificare se si ha ancora accesso al proprio profilo. Se la risposta è positiva, la cosa da fare subito è cambiare la password e attivare la verifica in due passaggi. Sembra banale, ma è il modo più rapido per mettere al sicuro il proprio account prima che qualcuno ne prenda il controllo completo.
Nel caso in cui gli hacker abbiano già modificato la password e l’accesso risulti bloccato, è possibile utilizzare l’opzione di recupero password disponibile direttamente nella pagina di login di Roblox. Le istruzioni verranno inviate all’indirizzo email associato all’account.
La situazione si complica quando gli hacker, oltre alla password, hanno modificato anche i dati di recupero. In quel caso diventa necessario contattare direttamente l’assistenza di Roblox, fornendo quante più informazioni possibili per dimostrare di essere i legittimi proprietari del profilo. Tra i dettagli utili da comunicare ci sono il nome utente, l’indirizzo email originale usato al momento della registrazione, la data e l’ora approssimative in cui l’account è stato creato, e degli screenshot che mostrino i dettagli del profilo prima della compromissione.
Un campanello d’allarme per tutta la community
Quello che rende particolarmente insidioso questo attacco è il modo in cui il malware è stato distribuito. Spacciarlo per strumenti di gioco è una strategia che sfrutta la fiducia degli utenti, molti dei quali sono giovanissimi e meno abituati a riconoscere le minacce informatiche. Il furto di account Roblox su questa scala dimostra quanto sia importante non scaricare mai software da fonti non verificate, anche quando sembrano offrire vantaggi per il proprio gioco preferito. I tre arresti effettuati dalla Polizia ucraina rappresentano un segnale concreto, ma i danni per le centinaia di migliaia di utenti coinvolti restano tutti da quantificare.