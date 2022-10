Kiusaaja vei Ilonan, 11, viikko­rahat – lasten suosikki­pelissä on käsittämätön haavoittuvuus

Virtuaalivarkaudet ovat Robloxissa todella helppoja.

Roblox on iso virtuaalimaailma, jossa kaikkien pelaajien aikeet eivät ole hyviä.

Viidesluokkalainen espoolainen Ilona koki ikävän yllätyksen, kun hänen pelaamansa Roblox-pelin käyttäjätilille tunkeuduttiin viime viikon lopulla.

Hahmon nimi oli muutettu alatyyliseksi ja vaatteet vaihdettu. Mutta mikä ikävintä, pelissä ostettu noin 5 euron arvoinen 400 robuxin virtuaalikassa oli kadonnut. Rahalla oli ostettu virtuaaliesineitä, jollaisia Ilona ei olisi halunnut.

Mukavan viikonloppupelailemisen tilalle tuli pettymys rahan menetyksestä ja ilkivallasta.

FAKTA Roblox Vuonna 2006 julkaistu Robox on ilmainen monen pelaajan verkkopelialusta, jolla on jopa 200 miljoonaa kuukausittaista käyttäjää. Roblox on käytettävissä Windowsilla, iOS:llä, Androidilla ja Xbox Onella. Robloxin sisällä on tuhansia minipelejä ja miljoonia pelimaailmoja. Pelaajat voivat luoda ja jakaa omia pelimaailmojaan tutuille tai tuntemattomille. Monet suosituimmista minipeleistä perustuvat johonkin valmiiksi suosittuun formaattiin, kuten Netflix-hitin Squid Gamen eri peleihin. Pelissä pelaaja on vapaa tekemään mitä haluaa, kuten rakentamaan, leikkimään, pelaamaan tai kisaamaan keskenään. Useimmille pelaajille Roblox on tapaamispaikka, jossa voi kuluttaa aikaa kavereiden tai tuntemattomien kanssa. Robloxissa ohjataan hahmoa, jonka ulkonäköä voi muuttaa ostamalla Robux-valuutalla vaikka uuden paidan tai hatun. Roblox-pelaajista huomattava osa on alaikäisiä. Pelin PEGI-ikäraja on 7, App Storessa ikärajaksi on merkitty 12, Play Store suosittelee peliä yli 10-vuotiaille.

Ilonan isä Kristian kertoo, että tyttöä harmitti pahoin.

– Itsellenikin nousi tuskanhiki. Vaikka kyseessä onkin peli, ei meidän reviirillemme saa tunkeutua noin vain, Kristian sanoo.

Tapausta oli edeltänyt pelissä Ilonalle tullut kaverikutsu tuntemattomaksi jääneeltä suomalaispelaajalta.

Taloudellisen edun tavoittelusta tuskin oli kyse. Teko oli digitaalista ilkivaltaa, jonka tarkoitus on pahoittaa mieli.

Kristian alkoi selvitellä asiaa. Kävi ilmi, että tyttö oli pelannut Robloxia kirjaston yhteiskäyttöisellä koneella. Kirkkonummella koneita saa käyttää kuka tahansa ilman että kirjastokorttia kysytään.

Robloxin tietoturva on kehno. Käyttäjän kirjautumistiedot tallennetaan evästeeksi kutsuttuun tekstitiedostoon tietokoneen kiintolevylle. Sen poistamiseksi on nettiselaimen välimuisti poistettava pelaamisen jälkeen. Toimenpide ei ole tuttu useimmille aikuisillekaan ja tuskin monelle lapsellekaan.

Jos toinen käyttäjä pääsee käsiksi pelaajan evästetiedostoon, hän pääsee käsiksi tämän pelihahmoon. Tämä voi tapahtua istumalla samalle tietokoneelle tai kopioimalla evästetiedosto talteen ja avaamalla sen toisella tietokoneella.

Pelaajan kannalta tämä tarkoittaa sitä, että Robloxia kannattaa pelata yhteiskäytössä olevilla tietokoneilla selaimen yksityisessä eli incognito-tilassa tai pyyhkiä selainhistoria pelaamisen jälkeen. Muussa tapauksessa tietokoneen seuraava käyttäjä pääsee helposti tilille.

Chrome-selaimessa voit tyhjentää selaushistorian painamalla oikean yläkulman kolmea pistettä ja valitsemalla Asetukset > Yksityisyys ja turvallisuus > Poista selaustiedot.

Windowsin Edge-selaimessa paina oikean yläkulman kolmea pistettä ja valitse Asetukset > Tietosuoja, haku ja palvelut > Tyhjennä selaustiedot nyt.

IS on kysynyt Roblox Corporationilta evästetiedostojen turvallisuudesta. Asia on yleisesti tiedossa, ja Robloxiin liittyvien evästeiden suojelemisesta on kirjoitettu jopa epävirallisia ohjeartikkeleita.

Evästeen kaappaaminen onnistuu myös pääsemättä fyysisesti käsiksi siihen laitteeseen, jossa Robloxia pelataan. Tämä voi onnistua esimerkiksi manipuloimalla uhri luovuttamaan eväste tai sitten varastamalla eväste laitteelle ujutetun haittaohjelman avulla.

Kriittinen eväste on nimeltään .ROBLOSECURITY. Tätä evästettä ei siis koskaan tule jakaa kenenkään kanssa mistään syystä. Sen avulla on jopa mahdollista ohittaa Robloxin kaksivaiheinen tunnistus, jonka on tarkoitus estää luvattomat tunkeutumiset käyttäjätileille.

Hakkerointia on puitu jo ainakin vuonna 2016 tässä Robloxin kehittäjäfoorumin keskustelussa. Siihen Robloxin edustaja totesi, että kaksivaiheinen tunnistus ei ole ihmelääke tilin varkauden estämiseksi, vaan tarkoitettu suojaksi esimerkiksi kirjoitettaessa salasana huijarin verkkosivulle.

Yhtiö totesi Vicelle aiemmin tänä vuonna, että turvallisuutta on rakennettu jo yli vuosikymmenen ajan ja sitä kehitetään edelleen uusia uhkia samalla etsien.

Robloxin ohjeartikkelin mukaan hakkeroidut tilit ovat oikeutettuja kertaluontoiseen korvaukseen joko menetettyjen peliesineiden tai niiden likimääräisen arvon osalta. Roblox ei mahdollista tilin palauttamista aiempaan tilaan, mutta sanoo palauttavansa sen, mitä se pystyy.

Ilonan ja Kristianin nimet on muutettu.