La semaine dernière, une importante fuite de données s’est produite au sein de l’ESA, menaçant la sécurité de milliers de personnes. Des journalistes spécialisés dans les jeux, des employés de l’industrie du jeu et des analystes de l’industrie ont tous vu leurs données personnelles fuir en ligne dans l’une des plus grandes violations de données de mémoire récente dans l’industrie du jeu. Les noms, les adresses personnelles et les numéros de téléphone de diverses personnes ont fuité en ligne.
Et dans une nouvelle encore plus mauvaise, les caches de données contenaient également d’autres données, et le volume et le type de données sont assez inattendus. D’une part, des données remontant à 2004 ont été incluses dans la brèche. Qui plus est, des personnes du monde entier ont été touchées, y compris des personnes en Europe.
La fuite est due à une erreur plutôt stupide. Un lien sur le site de l’ESA, la société qui organise l’E3, a conduit à une feuille de calcul contenant littéralement des milliers d’entrées, qui étaient toutes des noms, des numéros de téléphone et des adresses personnelles de milliers de journalistes de jeux vidéo. Toute personne souhaitant interagir avec l’ESA, par exemple pour assister à des événements de presse, devait soumettre ses coordonnées à l’organisation afin de recevoir des invitations, des cartes de presse et autres. Mais pour une raison quelconque, la feuille de calcul contenant tout cela a été publiée sur un serveur accessible au public.
This data was quickly discovered, and then leaked online. It’s impossible to guess how many people have access to the information, but the effect has been almost immediate, as multiple people on said list have allegedly received threats against them. Take this as a lesson everyone, don’t store any type of personal data on a web server in an unencrypted and publicly accessible form.
went to bed upset about The ESA leak and I am furious this morning, Getting random texts saying they have my personal info, including my home address and putting my family at risk IS NOT OK! For those affected do what you can to protect yourself
— Parris (@vicious696) August 3, 2019
C’est tellement incroyable d’irresponsabilité et de négligence. Cela va suivre les gens pendant des années. J’espère juste que rien de violent comme un swatting ne se produira. Les adresses physiques révélées sont de loin la partie la plus effrayante.
– Brandon Carbaugh (@BMCarbaugh) 3 août 2019
Ce seul fait suffit à qualifier tout ce bazar d’erreur majeure, mais la situation ne fait qu’empirer. L’ESA devra probablement faire face à une poursuite pour violation du GDPR, dont l’amende maximale est de 20 millions d’euros.
L’ESA a rapidement réagi et a supprimé les données, ainsi que les caches connectés d’anciennes versions des données sur des sites tiers. Dans une déclaration à VentureBeat, le groupe a déclaré ce qui suit sur la question et sa réponse:
L’ESA a été informée de la vulnérabilité d’un site Web qui a conduit à ce que la liste de contacts des journalistes inscrits à l’E3 soit rendue publique. Une fois informés, nous avons immédiatement pris des mesures pour protéger ces données et fermer le site, qui n’est plus disponible. Nous regrettons cet incident et avons mis en place des mesures pour qu’il ne se reproduise plus.
Nous travaillons avec nos partenaires, des avocats externes et des experts indépendants pour enquêter sur ce qui a conduit à cette situation et pour améliorer nos efforts de sécurité. Nous poursuivons notre enquête afin de comprendre pleinement les faits et les circonstances qui ont conduit à ce problème.
Et sur l’ampleur des données divulguées, l’ESA a eu les propos suivants dans un courriel de presse:
Au cours de notre enquête, nous avons appris que les listes de contacts des médias de l’E3 2004 et 2006 étaient mises en cache sur un site d’archives Internet tiers. Il ne s’agissait pas de fichiers hébergés sur les serveurs de l’ASE ou sur le site web actuel. Nous avons pris des mesures immédiates pour faire retirer ces fichiers, et nous avons reçu aujourd’hui la confirmation que tous les fichiers ont été retirés ou sont en train de l’être du site tiers.
Ainsi, bien que l’ESA ait fait la seule chose qu’elle pouvait faire et ait essayé de contenir la fuite, les gens sont à juste titre très en colère. Le groupe va devoir mener une bataille difficile pour se remettre de cette situation et éviter des amendes débilitantes. Il convient également de mentionner les dommages causés à la confiance des consommateurs et du public investis dans l’E3 et l’ESA qui s’est pratiquement évaporée. Certains en ligne appellent même à un recours collectif pour cette violation, bien qu’il y ait eu peu de nouvelles sur ce front particulier.
Une chose est sûre, beaucoup moins de gens seront prêts à assister et à soutenir l’E3 en 2020. Alors que des entreprises comme Sony abandonnent complètement l’événement, il y a de fortes chances que le programme de l’année prochaine se réduise encore plus.
