Dříve populární freewarová hra Bulánci českých vývojářů ze studia SleepTeam se potýká s únikem citlivých dat svých uživatelů a podporovatelů. Vedle e-mailové adresy obsahovaly záznamy i Steam klíče pro přístup na stejnojmennou platformu. Podle uživatele s přezdívkou Hex Open Data, který na únik Lupu.cz upozornil, vinou programátora, který na produkčním serveru Bulánků nechal vypsat obsah databáze, uniklo na 6000 záznamů.
Stažený obsah uživatelské databáze se následně objevil na serverech pastebin.com a mega.nz. V současné době už odkazy nejsou funkční.
Twitterový účet Bulánků následně únik dat potvrdil, tvrdí však, že se informace zobrazovaly jen dvě minuty a v neveřejné zóně.
Včera, ve večerních hodinách, došlo na dvě minuty k zobrazení některých informací z naší databáze v bulánčí zóně odměn. Tato zóna není veřejně přístupná. Prostřednictvím jednoho uživatele se na veřejnost dostaly e-maily některých podporovatelů a velké množství klíčů na Steam. 1/2
— Bulánci (@bulanci) November 16, 2022
Tvůrci krvelačných polštářů s bojovým pokřikem „Kdo se vleče, neuteče“ v dalším tweetu uvedli, že „na osobu, která údaje vynesla na veřejnost podávají trestní oznámení“. Dotazy Lupy.cz zaslané e-mailem SleepTeam ponechal bez odpovědi.
Sdílnější byl uživatel Hex Open Data. Sám sebe nepovažuje za hackera, ani skupinu hackerů. Uvedl, že chtěl upozornit na únik dat, ale současně nestojí o to, aby byl vyslýchán policií. Podle něj se programátor webu na Discord kanálu k chybě přiznal. Odůvodnil to tak, že mělo jít o testování funkcionality složitého databázového dotazu spuštěné omylem na produkční verzi.
Uniklé Steam klíče měli vývojáři podle svých slov deaktivovat. To ale Hex Open Data zpochybňuje: „všechny klíče, které jsme ve Steamu aktivovali, ve Steam účtu hry zůstaly.“ Únik záznamů o 6000 uživatelích podle něj může posloužit jako podklad pro phishingový útok na funkční e-maily uživatelů Bulánků.
Aktualizováno 21.11.2022 14:17: Studio SleepTeam s omluvou za zpoždění reagovalo ujištěním, že o úniku dat uživatele informovalo. „Celou věc jsme pochopitelně nahlásili i příslušným úřadům,“ uvedla za vývojáře Kamila Hurníková. Podle ní studio zavedlo opatření, aby k něčemu takovému už v budoucnu nemohlo dojít. „Z bezpečnostních důvodů ale nemohu sdělovat podrobnější informace,“ dodala. Steam klíče prý byly plošně vyměněny všem uživatelům, tedy jak těm, kteří si Bulánky ještě nestihli aktivovat, tak i podporovatelům s již aktivovanými kódy.Ti obdrželi klíč nový, který mohou použít jako náhradu za stávající, již použitý, nebo jej dle svého uvážení darovat.