Se dice que Activision no reveló una violación de datos que comprometía la información de sus empleados a las personas afectadas, y que se enteraron de este incidente por Twitter meses después del hecho.
El informe de las redes sociales en el que se detallaba este hackeo también contenía pruebas que sugerían que se habían filtrado los planes de Activision para Call of Duty en 2023.
El grupo de investigación sobre ciberseguridad ‘vx-underground’ informó anteriormente que un alto cargo de Activision fue víctima de un ataque de phishing basado en SMS el 4 de diciembre de 2023. Tras acceder a su cuenta de Slack, los hackers consiguieron descargar una serie de documentos internos que revelaban una hoja de ruta incompleta para 2023 de los juegos de Call of Duty.
La víctima se dio cuenta de lo ocurrido después de que los atacantes utilizaran su cuenta para publicar un mensaje difamatorio en uno de los canales de Slack de la empresa, presumiblemente después de haber robado ya todos los datos internos a los que pudieron echar mano, incluida la información de contacto de los empleados.
Aunque Activision no reveló públicamente la filtración, tampoco lo hizo internamente, citando relatos anónimos de dos empleados actuales, uno de los cuales describió la situación como problemática, afirmando que la empresa debería haber notificado a todos los empleados cuyos datos se hubieran visto comprometidos.
Según el informe original que detalla el ataque, esta falta de comunicación fue en realidad un problema bidireccional; la empleada de Activision que cayó en la estafa no fue el único miembro del personal objetivo de los atacantes, sino que aquellos que identificaron correctamente los mensajes SMS maliciosos como intentos de phishing tampoco informaron de ello al equipo de seguridad de la empresa.
Aunque no hay garantía de que esto hubiera evitado la filtración de datos, probablemente inhibió la respuesta de Activision al incidente, que finalmente solo se identificó después de que los atacantes se revelaran voluntariamente.
