Безопасность детей в Roblox

Платформа Roblox — крупнейшая в мире игровая платформа для детей. По данным компании, на её площадке ежедневно активны порядка 90 млн игроков, из которых около 40% младше 13 лет. Основная особенность игры — полноценная экосистема, которая представляет собой соцсеть. Большую часть контента на платформе создают сами пользователи при помощи инструмента Roblox Studio для разработки своих миров и игр. Эти миры являются частью онлайн-платформы, где игроки могут взаимодействовать друг с другом, общаться и создавать свои собственные мини-игры, аватары, покупать виртуальную валюту (Robux) и предметы кастомизации игровых персонажей. Поэтому здесь нет одиночных игр, где нельзя ни с кем взаимодействовать: в любом случае вы подключаетесь к публичному серверу, к которому могут присоединиться другие игроки. Именно сочетание социальных функций и увлечённости игроков привлекает на платформу как безобидных фанатов творчества, так и злоумышленников. Со временем это привело к целому ряду скандалов, связанных с защитой детей и охраной их персональных данных, несмотря на попытки компании замалчивать проблемы.

Скрытый сбор информации в Roblox

Roblox позиционирует себя как безопасный цифровой мир, созданный для творчества, общения и игры миллионов детей. Однако за этим ярким фасадом скрывается сложная и непрозрачная система сбора информации, которая на протяжении многих лет привлекает внимание специалистов по информационной безопасности и общественных деятелей. К этому добавляются многочисленные утечки данных, взломы партнёров Roblox и актуальная эпидемия фишинга вокруг платформы. Эти факторы образуют опасную комбинацию, особенно с учётом возраста основной аудитории.

До того, как рассмотрим утечки персональных данных, обозначим, какие сведения собирает платформа о своих пользователях.

Из политики конфиденциальности Roblox видно, что платформа собирает стандартный набор данных:

·        логин,

·        пароль,

·        nickname,

·        дата рождения (чтобы отделять аккаунты «до 13» и «13+»),

·        IP-адрес и примерное местоположение,

·        данные устройства (модель, ОС, идентификаторы устройства),

·        логи активности, в том числе информацию о времени посещения, из какого приложения, какие игры запускал, какие покупки делал и т.д.

Что касается аккаунтов детей до 13 лет, Roblox подчёркивает: единственная персональная информация по COPPA (федеральный закон США, регулирующий сбор личной информации детей младше 13 лет в Интернете) — это e-mail родителя, который можно указать при настройке учётной записи. Эта электронная почта используется для безопасности и родительского контроля. Отдельно в политике конфиденциальности выделяется:

«Мы не передаём третьим лицам персональные данные пользователей младше 13 лет, за исключением случаев, разрешенных COPPA, и в целом ограничиваем сбор данных тем, что необходимо и приемлемо в соответствии с нашей строгой политикой конфиденциальности для обеспечения безопасности и эффективности платформы. Мы сертифицированы COPPA организацией kidSAFE».

Источник: https://en.help.roblox.com/hc/en-us/articles/4407444339348-Safety-Civility-at-Roblox.

В политике Cookies платформа также указывается, что компания может передавать третьим лицам, в частности сторонним рекламным и маркетинговым компаниям, контактные идентификаторы (e-mail и другие), характеристики, идентификаторы устройства, которые после используются в таргетировании рекламы.

Однако в апреле 2025 года на компанию Roblox был подан коллективный иск, в котором утверждается, что платформа проводит «тайный, непрозрачный и чрезмерный» сбор данных, в том числе перехватывает, например, нажатия клавиш, движения мыши, историю поиска, чаты до и после фильтрации. По мнению истцов, эти данные не только хранятся, но и анализируются с целью удержать детей в игре как можно дольше, подстраивать интерфейс под эмоциональные реакции и предоставлять рекламным партнёрам информацию о поведении игроков. Проблема в том, что ребёнок не может осознать, что такое слежение, сбор поведенческих метрик и таргетинг. Мир Roblox остаётся для него просто игрой.

Утечки данных

Если скрытый сбор информации — это вопрос прозрачности и честности компании, то утечки данных — вопрос безопасности. Несмотря на репутацию «детской» платформы, Roblox неоднократно оказывался в центре громких утечек данных. Причём речь идёт не просто о случайных ошибках, а о многолетней цепочке инцидентов, в которых фигурировали как тестовые серверы Roblox, так и внешние подрядчики, и сомнительные сторонние сервисы вокруг экосистемы. В совокупности они показывают: цифровая безопасность детей на платформе далеко не так надёжна, как заявляет разработчик.

Первый крупный взлом произошёл ещё в 2016 году, когда злоумышленники получили доступ к тестовой копии сайта Roblox, на которой хранились электронные адреса, IP, логины, история покупок и балансы Robux 52 тыс. пользователей. Утечка была случайной: тестовый сервер оказался без защиты. Но, по сути, это стало первым тревожным сигналом, что внутренняя инфраструктура компании не готова к целевым атакам.

Источник: https://haveibeenpwned.com/Breach/Roblox.

В 2022 году произошла ещё внутренняя утечка. Сотрудник Roblox стал ж��ртвой фишинговой атаки, после чего в сеть было выложено около 4 Гб внутренних документов. В них оказались материалы, связанные с разработчиками популярных игр, среди которых много подростков, работающих с Roblox Studio. Это показало, что компания уязвима к целевым фишинговым атакам на конкретных сотрудников, имеющих доступ к большому количеству значимых внутренних ресурсов.

Ранее у сторонних «серых» сервисов, связанных с Roblox, которыми активно пользовались игроки, начали появляться утечки пользовательских данных платформ. Торговая площадка Rbx.Rocks, где отслеживались цены на предметы, дважды становилась жертвой взломов в 2018 и 2019 гг., в сумме потеряв около 150 тысяч учётных записей.

Источник: https://haveibeenpwned.com/Breach/RbxRocks.

Другие фанатские платформы, вроде RBX.Place, по заявлениям медиа-ресурса VICE, также допустили утечку в 2020 г., содержащую почты, хэши паролей и историю транзакций. Всё это напрямую влияло на информационное поле вокруг Roblox и игроков, особенно на подростков, увлечённых трейдингом.

Источник: https://www.vice.com/en/article/roblox-rbx-place-hacked.

Затем всплыли новые уязвимости, но не в самой платформе Roblox, а у подрядчиков. В 2023-м в сеть попала база с информацией почти четырёх тысяч участников конференции Roblox Developer Conference за 2017–2020 годы. Утечка содержит полные имена, возраст, телефоны, адреса и IP.

Источник: https://haveibeenpwned.com/Breach/RobloxDeveloperConference.

А летом 2024-го ещё один подрядчик, FNTech, допустил взлом регистрац��онной базы конференций 2022–2024 годов. В открытый доступ попало более десяти тысяч записей, включающих в себя имена, e-mail и IP участников. Формально утечки произошли через Supply chain (цепочка поставок).

Источник: https://haveibeenpwned.com/Breach/RobloxDeveloperConference2024.

Отдельную угрозу составили вредоносные расширения браузера, о которых публиковали исследование специалисты Лаборатории Касперского. Самое известное — SearchBlox, которое было установлено более чем у 200 000 игроков. Расширение маскировалось под легитимный инструмент, но фактически перехватывало логины и пароли Roblox и отправляло их злоумышленникам, которые затем угоняли аккаунты, крали ценные предметы и внутриигровую валюту. Это не была утечка напрямую из инфраструктуры Roblox, однако очередной инцидент ударил по репутации и повлиял на доверие к платформе. Данные расширения были заблокированы после распространения информации новостным изданием Bleeping Computers.

Источник: https://www.kaspersky.ru/blog/dangerous-browser-extensions-2023/36712/.

В течение последних пары лет ситуация стала ещё сложнее. На даркнет-площадках начали появляться объемные базы логинов и паролей, собранные инфостилерами с заражённых компьютеров. В одной из таких баз исследователи обнаружили 184 млн записей, затем в другой  — уже 16 млрд. Среди них находились и Roblox-аккаунты. Это означает, что даже без единого прямого взлома Roblox злоумышленники получают доступ к огромному количеству реальных учёток детей, просто потому что их пароли утекли вместе с другими данными.

В совокупности все эти инциденты показывают, что экосистема Roblox пронизана уязвимыми звеньями: от собственных тестовых серверов и отсутствия обучения цифровой грамотности сотрудников до халатности в работе и отсутствия регулярного контроля подрядчиков, а также мониторинга сторонних фанатских сервисов. А поскольку аудитория платформы — преимущественно дети, последствия таких утечек оказываются гораздо опаснее, чем в любой другой игровой или социальной сети. Когда в открытый доступ попадают e-mail, IP-адреса, возраст и поведенческие данные ребёнка, риски выходят далеко за пределы игры.

Если попытаться визуализировать инциденты на временной шкале, история с утечками вокруг Roblox выглядит следующим образом:

·                   2016 — первый зафиксированный крупный несанкционированный доступ к тестовому серверу платформы Roblox, скомпрометировано порядка 50 тыс. учётных записей.

·                   2018, 2020 — компрометация сторонних сервисов пополнения внутриигровой валюты и мониторинга торговой площадки Rbx.Rocks и Rbx.Place.

·                   2022 — целевая фишинговая атака на сотрудника компании Roblox Corporation, результатом которой явилась утечка 4 Гб внутренних служебных документов.

·                   2023, 2024 — организации-подрядчики, обеспечивавшие работу конференции разработчиков RDC, допустили утечки с персональными данными участников.

·                   2022, 2023 — распространение вредоносных браузерных расширений, включая SearchBlox и его клоны, маскирующихся под инструменты экосистемы Roblox Studio, зафиксированы массовые кражи учётных данных пользователей.

·                   2024–2025 — появление крупных агрегированных мультисервисных баз данных (184 млн записей, 16 млрд записей, отдельные массивы вида «37M Roblox credentials») с присутствием данных пользователей платформы.

Угрозы для детей: педофилы, груминг, насилие и мошенничество в Roblox

Наряду с утечками наиболее серьёзной проблемой называют контакт детей с педофилами, грумерами и эксплуататорами. По информации издания Bloomberg, с 2018 по 2024 год как минимум два десятка человек были арестованы за сексуальное насилие над детьми, с которыми они познакомились в Roblox.

В октябре 2023 года в Нью-Джерси (США) задержали мужчину, похитившего 11-летнюю девочку, с которой он играл на платформе.

В апреле 2024 года во Флориде (США) арестовали мужчину, который познакомился в Roblox с 14-летней девочкой, а потом пытался похитить её с оружием после угроз в чатах.

Аналогичный инцидент произошёл и в России весной 2025 года, когда суд приговорил к 15 годам тюрьмы жителя Екатеринбурга, который в игре связался с 12-летним мальчиком, встретился с ним в торговом центре и совершил в отношении него действия сексуального характера. Во всех этих случаях Roblox стал точкой входа, площадкой для первичной коммуникации и установления доверия.

Важно разобраться, как именно происходит контакт грумера и жертвы. В большинстве вышеперечисленных дел прослеживается схожая схема. Первоначально злоумышленники выбирают миры, популярные у младшей аудитории, например, ролевые игры, социальные симуляторы или сервера, где много новичков.

Для формирования доверительных отношений при контакте с ребенком преступники выдают себя за ровесника, делая комплименты и пытаясь проявлять заботу. После появления доверия грумер склоняет жертву перейти в «более удобные чаты» и перенести их общение за пределы Roblox.

Казалось бы, всё это время злоумышленник общается с ребенком через чат самой платформы, о модерации и строгих правилах которой мы упоминали в самом начале, но тут и появляются проблемы в безопасности. Фильтрация Roblox регулярно обходится несколькими простыми способами. Например, незнакомец спрашивает о наличии Snapchat: «Do u have 👻 chat», используя эмодзи из логотипа мессенджера в сообщении. Кроме того, злоумышленник разбивает предложение на несколько сообщений, каждое из которых спокойно пропускает модерация, так как фильтр анализирует каждое из них обособленно, но вместе они образуют личный вопрос или побуждают перейти на другую платформу. В последнее время в новостных ресурсах начала появляться информация об использовании обходных путей в чате. В том числе, некоторые игроки упоминали Азбуку Морзе. Источник: https://t.me/cb_games/25142.

Но на платформе помимо автоматического фильтра сообщений также есть модераторы. Однако значительная часть модерации была передана на аутсорсинг зарубежным колл-центрам, предположительно, для экономии средств, однако со своей работой эти компании не справляются. Так, по заявлениям сотрудников отдела модерации Roblox, работающего на Филиппинах, около 20% жалоб, поступивших в группу, приходилось на груминг.

Также упоминалась проблема самой платформы, из-за которой система позволяла пользователям блокировать нарушителя, но для этого требовалось, чтобы несколько пользователей подали запрос на блокировку нарушителя. Одиночная жертва не сможет даже эффективно пожаловаться на атакующего.

Также насилие может проявляться не только в реальных встречах, но и в поведении внутри игр. Журналист The Guardian Сара Мартин в 2025 году пять дней играла под видом восьмилетней девочки и описала «ад, кишащий педофилами». Над её игровым персонажем издевались, кидались виртуальными помидорами, нападали с оружием и даже насиловали, несмотря на включённую опцию родительского контроля.

Дети постоянно сталкиваются с издевательствами и грубыми оскорблениями. Проблема усугубляется тем, что часть миров внутри игры имеет внешний вид обычных игр, но внутри содержат «взрослый» подтекст. Речь идёт о «клубах», «вечеринках» или ролевых серверах, где подростки и взрослые могут участвовать в неподобающих сценариях.

Отдельным явлением стали «сексуальные игры», в которых пользователи создают миры с оживлёнными секс-симуляциями, зачастую открытыми детям. Нередки новости о том, что взрослые пользователи пытаются соблазнить юных игроков, открыто торгуют детским порно и играют в секс-игры.

Несмотря на возрастное ограничение и родительский контроль, проблема кроется в том, что возраст игрока никак не проверяется из-за свободной регистрации, а родительский контроль легко обходится ребенком, поскольку пользователь может устанавливать собственный родительский контроль и создавать альтернативные учётные записи для обхода ограничений контента.

Кроме прямого педофильского контента, в Roblox орудуют мошенники и киберпреступники, которых привлекает доступность и огромная популярность платформы. Дети часто не понимают рисков интернета и могут использовать устройства родителей.

Разберем несколько наиболее распространённых мошеннических схем, встреченных на платформе Roblox и вне её.

·                   Задания за внутриигровую валюту

В зависимости от сценария атаки киберпреступники предлагают выполнить задание, которое на первый взгляд кажется безопасным, например, сделать скрин желаемой вещи из игрового магазина, сфотографировать себя или родителей, а затем отправить эти снимки. Либо сразу просят ребёнка воспользоваться смартфоном родителей, чтобы сфотографировать экран с иконками банковских приложений.

·                   Имитация блогеров

Злоумышленники от лица популярного Roblox-блогера пишут детям в чате внутри игры и переводят общение в мессенджеры. Далее отрабатываются популярные мошеннические схемы, например, с розыгрышами Robux с необходимостью привязать карту для получения подарка или предоставить данные от учётной записи, после чего происходит кража.

·                   Украденные аккаунты

Благодаря утечкам информации преступники получают доступ к аккаунтам, меняют пароли и после пытаются выманить оплату за восстановление.

·                   Запрос геолокации

Детей просят поделиться местоположением, после чего им поступает голосовое сообщение, в котором преступники угрожают запуском дронов по дому ребенка.

Помимо общих схем мы обнаружили большое количество Telegram-каналов с распространением активных чатов для скама пользователей в русскоговорящем сегменте, демонстрируем переписки мошенников:

Меры Roblox по защите пользователей

Разработчики Roblox столкнулись с волной судебных исков. Регуляторы обвиняют компанию в недостаточной защите детей от «хищников», сексуального контента и финансовых махинаций, а также поднимаются вопросы об игровой зависимости и мошеннических микротранзакциях. На этом фоне издатель обещает усилить меры безопасности. В ближайшее время в Roblox может появиться система разделения чатов на шесть возрастных групп, доступ к которым будет зависеть от прохождения верификации личности, но как будет происходить верификация и насколько её легко можно будет обойти, пока неизвестно.

Несмотря на планы издателей, 3 декабря 2025 года на территории РФ платформа была заблокирована Роскомнадзором. В качестве причин назвали пропаганду и оправдание экстремистской и террористической деятельности, призывы к совершению противоправных действий насильственного характера на платформе Roblox.

«Мониторинг Roblox неоднократно подтверждал неспособность внутренней системы модерации обеспечить стопроцентную безопасность появляющихся на платформе материалов. В игровом пространстве в большом количестве присутствует неподобающий контент, который может негативно повлиять на духовно‑нравственное развитие детей», — заявили в регуляторе.