Quella volta che 'Roblox' è stato invaso di immagini porno e svastiche

Durante una serata qualsiasi, il figlio di Phil ha richiamato l'attenzione di suo padre sul suo computer. Il bambino stava giocando a Roblox, un popolare videogame per computer simile a Minecraft ma, secondo lui, qualcosa non quadrava.

In un primo momento, Phil (il nome è fittizio per proteggere l'anonimato della sua famiglia) pensava che il figlio fosse incappato in un bug del gioco e che avesse bisogno di lui per risolvere il problema. Ma ciò che ha visto lo ha sconvolto. "Sembrava molto diverso, era inquietante. Uno dei personaggi aveva scritto addosso la parola Hitler dappertutto. Ho dato un'occhiata all'ambientazione e ho trovato immagini di nudo."

Roblox è un grande successo — ogni mese viene giocato da circa 30 milioni di persone. Di base, si tratta di un gioco playground — una serie di server in cui i giocatori utilizzano degli avatar in stile Playmobil per navigare attraverso contenuti generati dagli utenti: copie di Counter-Strike, simulatori del lavoro di pizzaioli e giochi di sopravvivenza in scenari con calamità naturali. Roblox permette anche ai suoi creatori di guadagnare dei soldi dai contenuti che creano — alcuni arrivano anche a tirare su 50.000 dollari al mese vendendo beni Roblox per una valuta virtuale tramutabile in denaro contante tramite le Roblox Corporation.

Roblox viene classificato come un gioco per le famiglie adatto ai bambini; è dotato di una serie di misure di parental control, tra cui chat e le restrizioni di comunicazione vocale per gli utenti con meno di 13 anni. Eppure, nonostante queste precauzioni, il gioco è pieno di immagini naziste.

Quello che è successo alla versione di Roblox giocata dal figlio di Phil non è una novità. YouTube è pieno di video prodotti dai griefer — gente che gioca a certi videogame solo per rovinare l'esperienza degli altri utenti — che trollano i server di Roblox, usano cheat per interrompere gli streamer e infrangono le regole dei giochi.

Gli "hacker" hanno usato degli exploit già pronti che sfruttano il linguaggio di programmazione Lua per immettere in Roblox del codice in C. Questo consente di eseguire semplici script che fanno cose come far schizzare fuori dal proprio avatar centinaia di facce di Hillary Clinton, suonare musica fastidiosa e ripetitiva, o sostituire le risorse del server con degli anime porno anime e delle svastiche.

Nei video e screenshot catturati da Phil viene mostrato un mondo di Roblox andato a male. Mi sono loggato allo stesso server usato da suo figlio e ho verificato in prima persona l'invasione di contenuti nazisti, oltre a trovare un link che rimandava ad un canale di Discord in cui gli utenti potevano comprare l'hack per sé.

Phil ha esplorato il gioco con l'avatar di suo figlio scoprendo aquile giganti in stile Terzo Reich, immagini di Hitler e pornografiche. Phil aveva attivato il parental control — cose del genere non sarebbero dovute succedere. Ha chiamato anche altri genitori per fare controllare pure a loro che non fosse diventato pazzo. Ma non era così.

"C'era roba nazista dappertutto," ha spiegato Phil. "L'ho vista e ho riportato tutto. Poi [mio figlio] ci è tornato su ed era tutto regolare. Così, non ci ho pensato più. La mattina dopo ha giocato di nuovo con il videogame e, all'improvviso, tutto era diventato di nuovo oscuro e a tema nazista." Il supporto clienti di Roblox gli ha inviato una risposta automatica, prendendo nota del reclamo e promettendo che avrebbero verificato la situazione.

"Siamo consapevoli di questo hack e stiamo cancellando gli account di chi lo sta usando sulla piattaforma," mi ha spiegato via mail Brian Jaquet, senior director delle public relation della Roblox Corporation. "Non tolleriamo queste violazioni dei nostri termini di servizio. Purtroppo, il software viene distribuito tramite un servizio di terze parti e abbiamo chiesto di sconnettere immediatamente il server Discord infetto."

Discord ha mandato offline il canale che pubblicizzava il server hackerato alla fine di settembre, ma ho potuto dare un'occhiata al tutto prima che finisse offline. Il canale era solo un semplice negozio che vendeva un exploit per Roblox chiamato "Asshurt" per una "donazione" da 10 dollari tramite PayPal o Bitcoin. L'exploit forniva agli utenti gli strumenti per prendere possesso dei server Roblox. In questo modo, giocava su uno dei punti di forza del gioco: la sua natura open-source.

Gli utenti possono aprire il gioco, smanettare con il codice per creare diversi tipi di gioco, avatar e risorse varie. Ma questa stessa filosofia open source rende Roblox vulnerabile a hack e exploit come Asshurt. I griefer possono così accedere a un server e, con pochi click, riempire il cielo di un mondo di Roblox con svastiche oppure fare partire i suoni di urla presi dalla scena iniziale di Salvate il Soldato Ryan.

"Programmi open-ended come Roblox rischiano maggiori problemi, ma la creatività di solito emerge molto di più rispetto alla volgarità," mi ha raccontato via mail David Jagneaux, giornalista e autore di The Ultimate Roblox Book, che include un capitolo per aiutare i genitori a tenere i loro figli al sicuro mentre giocano. "Semplicemente, raccomanderei ai genitori di adottare un approccio molto pratico e di interessarsi a ciò che fanno i loro figli online. Ci sono centinaia di giochi online per bambini fantastici, da giocare con o senza gli amici, ed è responsabilità sia dei bambini che dei genitori cercare i contenuti appropriati."

Phil ha fatto proprio questo. Nelle ultime settimane ha tenuto d'occhio i giochi Roblox di suo figlio. Ogni volta che vede qualcosa, lo riporta a Roblox. Alla fine, la società gli ha concesso una risposta personale.

"Anche se non possiamo divulgare le azioni intraprese contro i giocatori, vi assicuriamo che chi viola le nostre regole e linee guida verrà trattato in modo appropriato," ha dichiarato via mail un rappresentante della Roblox Corporation. "In ogni caso, prendiamo in seria considerazione tutte le segnalazioni di utenti che sfruttano, hackerano o violano in altra maniera i nostri Termini di servizio… tutti gli account sorpresi a violare le regole di ROBLOX saranno sottoposti al controllo dei moderatori. Inoltre, i report funzionano! Abbiamo dei moderatori che lavorano online 24 ore su 24 per analizzare i report e mantenere ROBLOX un luogo divertente e sicuro per tutti i giocatori."

Discord mi ha detto che ha buttato giù il canale che vendeva l'exploit. "Discord non legge o modera i server privati delle persone," mi ha spiegato via mail Tali Fischer, direttore delle pubbliche relazioni per Discord. "Quando veniamo a conoscenza di qualsiasi violazione delle nostre ToS da parte di un server o di un individuo attraverso una segnalazione al nostro serivzio segnalazioni clienti o tramite i social media, indaghiamo immediatamente e prendiamo le misure appropriate che possono includere la rimozione del server e il ban dell'utente in questione."

Il server Discord che vendeva Asshurt è andato giù, ma l'hack girava ancora e, settimane dopo, Phil ha visto ancora comparire le immagini naziste nei giochi di suo figlio. È improbabile che possa sparire presto del tutto.

"Man mano che la piattaforma continuerà a crescere…. emergeranno più problemi e diventerà sempre più difficile isolare il tutto," mi ha spiegato Jagneaux. "Direi che finora stanno facendo il meglio possibile."

Exploit e hack simili non affliggono solo Roblox. Anche Minecraft ha il suo bel gruppo di giocatori che vogliono rovinare tutto. Persino i riferimenti nazisti non sono una novità. I troll di internet amano fingersi nazisti per il gusto di shockare. Roblox ha addirittura alcuni server di roleplay nazisti.

E, mentre la Roblox Corporation banna gli utenti e pone rimedio alle debolezze del suo codice, gli utenti creano nuovi account e sviluppano nuovi strumenti. Esiste già un nuovo code injector in Lua C chiamato Flame V2 che ricorda da vicino Asshurt.

Phil controlla ancora regolarmente il gioco di suo figlio. Secondo lui, le immagini naziste in cui incappa il bambino sembrano essere diminuite, ma altri hack ed exploit incasinano il suo gioco. Ad esempio, recentemente, il cielo si è oscurato e una versione MIDI di All-Star degli Smash Mouth ha risuonato per tutto il gioco.

Seguici su Facebook e Twitter