Anar al contingut
Guies

Li van hackejar el compte de Roblox al meu fill de 9 anys

Un tutorial li va dir de copiar dades de la consola del navegador. Li van robar la sessió, van entrar des d'Alemanya i li van buidar els Robux. Què va passar i com evitar-ho

· per Noobsi
Pàgina de Steal a Brainrot a Roblox amb la consola del navegador oberta mostrant el missatge STOP d'advertència
Pàgina de Steal a Brainrot a Roblox amb la consola del navegador oberta mostrant el missatge STOP d'advertència

La setmana passada li van hackejar el compte de Roblox al meu fill. Té 9 anys. No va ser cap hacker amb caputxa en un soterrani. Va ser un tutorial que li demanava copiar i enganxar una cosa a la consola del navegador.

Això és el que va passar, pas a pas. I el que vam aprendre.

En Roc programa amb Roblox Studio

El meu fill Roc fa mesos que programa jocs amb Roblox Studio. Mira tutorials, prova coses, s’encalla, busca un altre tutorial i continua. Autodidacta amb nou anys. Em sembla increïble.

Normalment estic molt a sobre del que fa online. Però no em preocupava massa perquè el que fa és programar — crear coses, no consumir contingut passiu. No em va passar pel cap que arribaria al nivell d’obrir la consola del navegador i executar instruccions que no entenia.

Què va passar: el tutorial que robava cookies

Un dels tutorials que va trobar ensenyava a copiar jocs ja publicats a Roblox. Li donava una sèrie de passos que havia de fer al navegador. En un d’aquests passos, li demanaven obrir la consola del navegador — l’eina de desenvolupament que s’obre amb F12 — i copiar tot el contingut d’una secció concreta.

El que en Roc no sabia — i el que jo no li havia explicat — és que aquella secció contenia la cookie de sessió del seu compte. En copiar-la i enganxar-la on li indicaven, va donar a aquella pàgina accés complet al seu compte de Roblox. Sense contrasenya. Sense verificació. Només amb la cookie.

La pàgina li va tornar els assets del joc que volia copiar. A en Roc li va semblar que havia funcionat.

L’alerta: accés al compte de Roblox des d’Alemanya

Uns dies després, vaig rebre una notificació al meu compte parental de Roblox: algú havia iniciat sessió des d’Alemanya.

Vaig revisar l’historial d’accessos. Hi havia diversos inicis de sessió des d’ubicacions que no eren les nostres. Immediatament vaig fer tres coses:

  1. Vaig tancar totes les sessions obertes des de la configuració de seguretat de Roblox.
  2. Vaig canviar la contrasenya del compte d’en Roc.
  3. Vaig activar la verificació en dos passos amb una app d’autenticació (Google Authenticator), no només per email.

Després em vaig asseure a investigar. Vaig revisar l’historial del navegador de l’ordinador d’en Roc dels últims tres dies. Vaig trobar el tutorial. Vaig veure els passos. I vaig entendre exactament què havia passat.

Robux robats: els 3 euros que van desaparèixer

En Roc tenia 3 euros en Robux al seu compte. No és gaire, però eren seus.

Qui va accedir al seu compte va entrar a diverses experiències de Roblox que permeten donar Robux a altres usuaris. Va fer donacions a comptes desconeguts fins a deixar el saldo a zero.

Historial de transaccions de Roblox mostrant les compres fraudulentes marcades en vermell — donacions a usuaris desconeguts des del compte hackejat

Les transaccions marcades en vermell són les fraudulentes. Les dues de sota (Shark Banana i Skip) són compres reals que en Roc va fer setmanes abans. La diferència és òbvia: les fraudulentes són totes “Purchased Purchase” o donacions a usuaris que en Roc no coneix, des d’ubicacions que no són les nostres.

Vam contactar amb el suport tècnic de Roblox. Els vam enviar les transaccions fraudulentes i vam exposar el cas.

Resposta del suport de Roblox confirmant que estan investigant el cas i proporcionant passos per recuperar el compte

Roblox va respondre en menys d’una setmana. Van confirmar que el compte estava assegurat i ens van indicar els passos per iniciar el procés de restauració dels Robux perduts. Hi estan treballant.

Actualització: Roblox va tornar els Robux

El 15 d’abril, Roblox ens va enviar un correu confirmant que havien recuperat els Robux que li van robar a en Roc. Els 3 euros tornen a ser al seu compte. Tot el procés — des que vam reportar el cas fins a la recuperació — va tardar unes dues setmanes.

Correu de Roblox Support confirmant la restauració de 316 Robux al compte de rocvibabot

Val la pena explicar-ho perquè molta gent no reporta. Pensen que “només són 3 euros” o que “Roblox no farà res.” Van fer exactament el que tocava: van investigar, van identificar les transaccions fraudulentes i van tornar el saldo. La plataforma respon quan li dones les proves.

La red flag que no li vaig ensenyar: la consola del navegador

Aquesta és la part que més em va costar d’assumir. Jo soc la persona que supervisa el que en Roc fa online. Hi estic a sobre. Controlo. Però no li havia explicat una cosa concreta:

Mai copiïs i enganxis res a la consola del navegador si no saps exactament què fa. Si algú t’ho demana, és perquè vol treure informació del teu compte.

No se’m va acudir que calgués. En Roc té nou anys. No esperava que sabés obrir la consola del navegador. Però la va obrir. Perquè el tutorial li ho va demanar. I ell confia en els tutorials que li ensenyen a programar.

Aquest és el problema. Els nens confien. I els scammers ho saben.

Què és el robatori de cookies (per a pares no tècnics)

Quan el teu fill inicia sessió a Roblox, el navegador guarda una dada que s’anomena cookie de sessió. És com un passi d’entrada que diu: “aquest usuari ja s’ha identificat, no li demanis la contrasenya una altra vegada.”

Si algú aconsegueix copiar aquesta cookie, pot enganxar-la al seu propi navegador. I el servidor de Roblox creurà que és el teu fill. No necessiten la contrasenya. No necessiten passar cap verificació. Només necessiten aquella cookie.

És com si algú clonés la clau de casa teva. No forcen la porta. Entren com si hi visquessin.

Els tutorials que demanen “obrir la consola i copiar dades” estan dissenyats per robar exactament això. Ho disfressen d’eina, de truc, de hack per aconseguir coses gratis. Però el que fan és robar la sessió.

Com protegir el compte de Roblox del teu fill: 5 passos

1. Explica-li què és la consola del navegador. No cal que entengui el codi. Només necessita saber una regla: si alguna cosa et demana obrir la consola (F12) i enganxar text, para. Pregunta’m abans.

2. Activa la verificació en dos passos. No la d’email — la d’una app d’autenticació com Google Authenticator o Microsoft Authenticator. Si algú roba la cookie, no podrà fer canvis crítics sense el segon factor.

3. Activa el PIN parental a Roblox. Un PIN de quatre dígits que impedeix canvis a la configuració del compte sense la teva aprovació.

4. Revisa l’historial del navegador de tant en tant. No per espiar. Per detectar tutorials que demanen coses que el teu fill no hauria de fer. Si veus referències a “consola,” “F12,” “inspect,” “copiar cookies” — cal parlar-ne.

5. No li donis la culpa. En Roc no va fer res dolent. Estava aprenent a programar. Va seguir un tutorial com segueix tots els altres. La diferència és que aquest era maliciós. El problema no és que el teu fill confiï en el que llegeix. El problema és que hi ha contingut dissenyat per explotar aquesta confiança.

El robatori de cookies és només un dels riscos de seguretat online que poden trobar els nens. Si el teu fill juga a Steal a Brainrot o altres jocs de Roblox, en aquest altre post revisem punt per punt els riscos dins del joc: estafes entre jugadors, xat amb desconeguts i compres amb Robux.

Preguntes freqüents

Com li van hackejar el compte de Roblox al meu fill? El mètode més comú no és endevinar la contrasenya. És el robatori de cookies de sessió. Si algú convenç el teu fill d’obrir la consola del navegador (F12) i copiar certes dades, pot obtenir la cookie que manté la sessió oberta. Amb aquesta cookie, accedeixen al compte des de qualsevol lloc del món sense necessitar la contrasenya.

Què és una cookie de sessió i per què és perillosa? Una cookie de sessió és una dada que el teu navegador guarda per recordar que has iniciat sessió en un lloc web. Si algú copia aquesta cookie, pot enganxar-la al seu navegador i el lloc creurà que és el teu fill. És com clonar la clau de casa: no cal que forcin el pany.

Què faig si hackegen el compte de Roblox del meu fill? Tres passos immediats: 1) Tanca totes les sessions obertes des de la configuració de seguretat de Roblox. 2) Canvia la contrasenya. 3) Activa la verificació en dos passos amb una app d’autenticació com Google Authenticator o Microsoft Authenticator. Després, revisa l’historial de transaccions i contacta amb el suport de Roblox si hi ha moviments fraudulents.

Pot Roblox tornar els Robux robats? Sí. En el nostre cas, Roblox va investigar les transaccions fraudulentes i ens va tornar els Robux robats en unes dues setmanes. Vam enviar les donacions sospitoses a usuaris desconeguts des d’ubicacions que no eren les nostres, i van actuar. No hi ha garantia al 100%, però val la pena reportar-ho amb proves clares.

Com protegeixo el compte de Roblox del meu fill? Activa la verificació en dos passos amb una app d’autenticació (no per email, que també pot ser compromès). Activa el PIN parental. I sobretot: explica-li al teu fill que mai ha de copiar i enganxar res a la consola del navegador. Si un tutorial li ho demana, és una red flag.

#roblox #seguretat online #robatori de cookies #control parental #pares #compte hackejat
← Tornar al blog