Серйозне порушення ESA конфіденційності E3 просто не повинно залишитися безкарним

На минулих вихідних прокинулися близько 2000 гравців ігрової індустрії, які дізналися про величезний витік даних з організації, яка стоїть за ігровою конференцією E3. Кожен, хто зареєструвався в Агентстві розважального програмного забезпечення (ESA) в якості представника преси, YouTuber, Influencer або стримера, мав всю цю реєстраційну інформацію, яка стала загальнодоступною. У той час як ЄКА діяло відносно швидко, щоб видалити інформацію, дані вже були завантажені і передані в загальний доступ.

Однак найгіршими новинами на сьогоднішній день є те, як мало буде наслідків для ЄКА, якщо допустити таке кричуще порушення довіри. Його сумний лист з вибаченнями теж не допоміг.

Як сталося порушення конфіденційності ESA E3?

Коли ви реєструєтеся на будь-яку технічну або ігрову подію, відбувається досить значний обмін інформацією. Поштові адреси, номери телефонів, а іноді й екстрені контакти запитуються при подачі заявки на доступ до цих подій. У деяких випадках ви не просто ділитеся своєю інформацією, а й інформацією свого редактора, щоб підтвердити, що ви насправді подаєте заявку на участь у заході для виконання роботи замість того, щоб просто грати в ігри або отримати безкоштовну перепустку на платний захід.

Для багатьох заходів ця інформація передається підприємствам, які також візьмуть участь. Це дозволяє цим підприємствам зв'язуватися з представниками преси і запрошувати їх або подивитися на речі, на які поширюється ембарго, або на індивідуальну екскурсію по їх стендах перед усіма іншими. Це дає ЗМІ можливість отримувати фотографії і відео без натовпу, що полегшує обмін досвідом з усіма, хто не відвідує захід. Це все досить стандартно, і зазвичай є прапорець, який підтверджує, що ви в порядку з прийомом заявок від присутніх компаній.

Якщо ви відвідали E3, ваша особиста інформація, швидше за все, там, щоб побачити весь світ.

ЄКА зібрало всі ці реєстрації в єдиний документ і розмістило цей документ на своєму веб-сайті у файлі з назвою «Список зареєстрованих ЗМІ». Цей документ був доступний будь-кому, у кого є веб-браузер. Іншими словами, кожен охочий міг завантажити цю інформацію і вивчити її, що саме і зробила YouTuber Софія Нарвіц, коли вона показала світу, що зробила ЄКА.

Для організації, яка на своєму веб-сайті заявляє, що вона є «провидцем, який перевизначає ділові та творчі межі розваг», ESA продемонструвала деякі методи захисту даних і доступу до веб-ресурсів досить кам'яного століття.

Це не те, що сталося тільки один раз.

Використовуючи Wayback Machine та інші інструменти, були знайдені схожі документи з попередніх реєстрацій E3. Простіше кажучи, якщо ви відвідували E3 з тих пір, як Інтернет став чимось особливим, є велика ймовірність, що ваша особиста інформація буде доступна всьому світу. І це відстій.

Оскільки дані були оприлюднені, люди ігрової індустрії опинилися у важкій ситуації. Я бачив, як друзі блокували свої облікові записи в Твіттері і змінювали свої телефонні номери завдяки майже нескінченній хвилі особистих атак. Багато хто стурбований поверненням таких практик, як «SWATing», якщо вони говорять щось, що не подобається людині в Інтернеті, в той час як інші бояться старих добрих шахрайств з кредитними картами завдяки особистій інформації, яка стала загальнодоступною. Як ЄКА відповіла на ці проблеми?

З відповіді ESA, відправленої потерпілому:

ЄКА стало відомо про вразливість веб-сайту, яка призвела до того, що список контактів зареєстрованих журналістів, які відвідують E3, був оприлюднений. Отримавши повідомлення, ми негайно зробили кроки для захисту цих даних і закрили сайт, який більше не доступний. Ми шкодуємо про це і вжили заходів для забезпечення того, щоб це більше не повторилося.

Ось і все. Він шкодує про викриття майже 2000 осіб, людей, запрошених на захід, на якому він заробляє купу грошей щороку. Протягом багатьох років E3 була ігровою конференцією в США. Саме тут найбільші компанії в ігровому світі створюють величезні окуляри, які тримають глядачів вдома приклеєними до їхніх телефонів на цілий тиждень. Незалежно від того, як компанія впоралася з цим інцидентом, люди, які пишуть про ігри на життя, не мають іншого вибору, окрім як відвідувати майбутні заходи, навіть незважаючи на те, що ЄКА майже не дбає про свою безпеку чи благополуччя.

Дуже мало наслідків для ESA і E3

Хоча деякі люди за межами США ведуть розмову про можливий судовий позов проти ЄКА за це порушення, сумна правда полягає в тому, що з цим мало що можна зробити. Багато хто змінив свої телефонні номери, але домашні адреси також просочилися, і не схоже, що більшість людей, присутніх на цьому заході, можуть просто переїхати і переїхати. У США немає ніяких юридичних наслідків для такого роду речей, тому що ви погоджуєтеся ділитися цією інформацією, коли ви реєструєтеся, і тому що уряд США, схоже, не зацікавлений в цьому в якомусь нормативному або правовому сенсі.

Щоб було ясно, це не схоже на порушення фінансових даних, де є захист і юридичні наслідки. Це сталося, і крім обіцянки ESA не робити цього знову, немає ніякого способу гарантувати, що це більше не повториться. Або покарання, якщо це так.

Не повинно бути катастрофічного інциденту для будь-якої організації, яка піклується про конфіденційність.

ЄКА каже: «Ми - індустрія відеоігор», але це явно недоречний випадок. У той час як все це відбувається, організація починає діяти так, як ніби вона є героєм, коли мова йде про такі речі, як виробники консолей, що впроваджують єдину політику на ящиках для видобутку. Якби порушення даних, подібне до цього, відбулося з людьми, зареєстрованими для події Xbox, ESA буде залучено до процесу, щоб гарантувати, що це ніколи не повторилося. На веб-сайті ESA буде опубліковано суворе повідомлення про те, як Microsoft буде впроваджувати нові політики, щоб це більше не повторилося. Але зворотного не відбувається; не буде суспільного тиску з боку найбільших імен у галузі, щоб гарантувати, що ЄКА піклується про людей, які відвідують його подію в журналістській або рекламній діяльності.

Навряд чи ми чули кінець цієї конкретної історії. Якщо в результаті судового розгляду буде винесено рішення за межами приватного врегулювання, воно, ймовірно, не матиме довгострокових наслідків. ЄКА могло запропонувати що завгодно, від особистих вибачень до людей, яким воно надавало базові послуги кредитного моніторингу, і це було б на порядок ефективніше, ніж насправді. Зрештою, нічого не зміниться.

Організації дійсно не слід вживати катастрофічних заходів, щоб піклуватися про конфіденційність і безпеку людей, з якими вона працює і з якими працює. На даний момент постраждале не може багато чого зробити, але сподівається, що це конкретне порушення не призведе до такого.