2 августа бывшая журналистка сайта Nichegamer София Нарвиц рассказала об утечке персональных данных более чем 2 тысяч участников прошедшей выставки Е3.
Как оказалось, на официальном сайте Е3 в разделе Helpful Links была выложена ссылка, которая вела на список-таблицу зарегистрированных представителей СМИ, блогеров и стримеров, а также финансовых аналитиков и крупных инвесторов. Список включал полные имена, адреса проживания, электронную почту и телефоны участников мероприятия.
Среди тех, чьи личные данные находились, по сути, в открытом доступе, были журналисты IGN, Polygon, PC Gamer, The Verge и других крупных изданий. Также в списке значились известные стримеры с Twitch и Mixer, которые освещали прошедшую выставку, представители Tencent и Goldman Sachs.
Нарвиц, когда ей стало известно об утечке, связалась с ESA (Entertainment Software Association), выступающей организатором E3, и сообщила о проблеме. Ответа на обращение не последовало, однако страницу со ссылкой вскоре удалили с сайта — но было поздно, поскольку, по информации Kotaku, список уже разошелся по интернету и некоторым указанным в таблице людям (издание не раскрывает, о ком именно идет речь) начали поступать звонки с неизвестных номеров.
Более того, немногим позже стало известно, что оригинальная страница с Helpful Links легко восстанавливается вместе со ссылкой на злосчастную таблицу через кэш Google. Автор новости проверил данную информацию и без труда обнаружил и открыл список, действительно содержащий персональные данные (конфиденциальная информация на скриншоте скрыта):
Интересно, что файл таблицы, судя по ссылке, в которой указано «uploads/2019/05», был загружен на сервер сайта E3 в мае. При этом то, когда именно его выложили в открытый доступ, остается неизвестным.
Вечером 3 августа — после того, как игровая индустрия воспылала праведным гневом — ESA выпустила официальное заявление, в котором извинилась за утечку персональных данных.
Организаторы подчеркнули, что подобная проблема возникла впервые за более чем 20 лет проведения выставки.
«Мы размещаем данные об участниках выставки на сайте, чтобы нашим сотрудникам было проще организовывать интервью и оповещать СМИ и других зарегистрированных посетителей о том, что именно будут показывать на конференции. Однако такого рода списки всегда находились в закрытом, внутреннем разделе, а доступ к ним предоставлялся по паролю, и за более чем 20 лет с этим не возникало никаких проблем. Когда мы узнали об уязвимости на сайте, мы тут же ее устранили, закрыв доступ к персональным данным.
Мы сожалеем о случившемся и приносим свои извинения, а также уже принимаем меры, чтобы подобное впредь не повторилось», — из заявления ESA.
Вместе с тем, журналисты СМИ, персональные данные которых утекли в сеть, раскритиковали реакцию организаторов E3: репортеров возмутило, в частности, то, что ESA не нашла нужным подробно рассказать пострадавшим о случившемся.
«Вот так выглядит первое письмо от ESA. В нем не сообщается ни то, входят ли мои данные в утекший список (а они входят), ни то, какие конкретно сведения оказались в открытом доступе, ни то, как вообще подобное могло произойти. Это [крайне слабый ответ]», — заметил редактор PlayStation Access Нейтан Дитум.
«Нынешняя реакция ESA никуда не годится. [Ее явно недостаточно], чтобы я решил отправить журналистов Eurogamer на следующую E3», — отметил главред издания Eurogamer.
VentureBeat, в свою очередь, указывает, что поскольку опубликованный список содержал в том числе данные европейских журналистов и был доступен для просмотра и скачивания на территории ЕС, европейский регулятор имеет все основания обвинить ESA в нарушении GDPR и оштрафовать ассоциацию на сумму до 20 млн евро.
Источник: DTF