A organização da feira não acautelou dados privados de jornalistas e youtubers que agora estão a receber ameaças de morte. As consequências desta situação podem ter como consequência o fim da E3.
Parece incrível, mas é verdade! A E3 sofreu um revés que pode por o interesse dos media e influenciadores em causa. E o motivo foi que dados privados destas pessoas foram expostos por falha da organização.
Tal como na maior parte das feiras, os visitantes da E3 podem solicitar à organização os identificadores de imprensa. Para os obter é necessário dar à organização o nome da organização que representam, nome, número de telefone,. morada e outros dados. Isto tem acontecido desde à alguns anos, e tornou-se parte do procedimento normal na E3.
Estes dados são colocados numa folha de excel que é depois distribuída por diversas empresas presentes na E3. Isto é um dado informado às pessoas, pois estes dados servem para posteriores convites para eventos de imprensa que ocorram durante a E3 e mesmo apresentações.
E até aqui, nada demais.
A questão é que até à alguns dias atrás, essa lista, com toda a informação de todos os membros da imprensa e influenciadores que solicitaram os identificadores de imprensa, estavam acessíveis a qualquer um. Bastava um click num botão no site da Entertainment Software Association (a organização por detrás da E3). Isto foi detetado por uma Youtuber de nome Sophia Narwitz!
Após o alerta, a ESA removeu a folha com os dados, mas não antes que outras pessoas lhe tivesse acedido e mesmo descarregado. Desconhece-se quantos downloads foram feitos ou quantas pessoas acederam a esses dados.
Infelizmente as consequências dessa exposição já são claras. Segundo uma fonte do Twitter, alguns jornalistas começaram já a receber ameaças de morte, e tudo devido ao acesso aos seus dados pessoais.
A writer from N/icheGamer shared the E3 doxx list and now journalists are getting death threats, so if you still follow that fkn despicable rag now’s the time to get the hell away from me cuz I’ll be blockchaining anyone who follows em very soon.
— Feral Hog-Babe (@ScraftyDevil) August 3, 2019
A ESA reagiu ao sucedido lançando um comunicado:
A ESA teve conhecimento de uma vulnerabilidade no website que levou a listas de contactos de jornalistas registados que estiveram na E3, que se tornaram públicas. Uma vez notificados, imediatamente tomamos medidas para proteger os dados e encerrar o site, que já não está disponível. Lamentamos esta ocorrência e tomamos medidas que garantem que tal não acontecerá de novo.
Apesar de a ESA apenas referir jornalistas, tal não é verdade. Youtubers e mesmo analistas de firmas de Wal Street como a Wedbush, a Goldman Sachs e a Tencent tambem tinha os seus dados ali.
A questão principal aqui é que a presença das empresas na E3 é paga. E um dos motivos pelos quais o custo de admissão é relevante é a obtenção destas listas de influenciadores. Mas perante esta fuga de dados, criada de uma forma ridícula, certamente no futuro ninguém estará interessado em fornecer dados à ESA.
Repare-se que não se tratou de uma falha de segurança na página, não se tratou de um hack, não se tratou de qualquer violação ou infiltração. Tratava-se de um mero link, que forçosamente alguém ali colocou, e que dava acesso aos dados, sem qualquer protecção. Clara negligencia, e uma falha na protecção que, por lei, a ESA era obrigada a garantir existir.
De acordo com a legislação Europeia, qualquer empresa que queira obter dados dos seus clientes tem a obrigação de garantir que os mesmos estão completamente seguros, sendo responsabilizada se tal não acontecer. A ideia não é tornar difícil a obtenção dos dados, mas sim garantir que, sendo eles privados, eles se mantêm privados. Quem não tem condições para garantir essa segurança e não cria toda a estrutura para que os dados sejam seguros, se mantenham seguros e sejam regularmente verificados que estão seguros, não pode colectar esses dados, sob pena de elevadas multas.
E dado que na lista estavam vários jornalistas, youtubers e outros cidadãos Europeus, com o seu website a ser acessível igualmente na Europa, a ESA estava obrigada a seguir essa legislação para recolha e protecção dos seus dados.