De Oekraïense politie in Lviv heeft drie personen van 19, 21 en 22 jaar gearresteerd voor het hacken van meer dan 610.000 Roblox accounts tussen oktober 2025 en januari 2026. Naar verluidt verkochten zij deze accounts voor in totaal ongeveer $225.000 winst. De arrestaties volgden na tien huiszoekingen op doelgerichte locaties, waarbij de autoriteiten $35.000 in contanten in beslag namen, evenals 37 mobiele telefoons, 11 desktopcomputers, zeven laptops, vijf tablets en vier USB sticks.
De operatie werd gezamenlijk uitgevoerd door de regionale aanklagers van Lviv, de cyberpolitie en de Veiligheidsdienst van Oekraïne.
Hoe de Roblox accountdiefstal werkte
De 19-jarige verdachte, geïdentificeerd als leider van de groep, rekruteerde de andere twee leden via gamefora en coördineerde de operatie. De groep verspreidde infostealer malware vermomd als een hulpmiddel om games te verbeteren. Van slachtoffers die het programma installeerden, werden de Roblox inloggegevens onderschept en doorgestuurd naar de aanvallers.
De gestolen accounts werden vervolgens gerangschikt op waarde, waarbij gekeken werd naar de zeldzaamheid van inventaris, Robux saldi en de aanwezigheid van limited edition items die niet langer via normale weg verkrijgbaar zijn. De groep classificeerde minstens 357 van de 610.000 gecompromitteerde accounts als waardevol.
Deze accounts werden verkocht via een Russische website en gesloten online gemeenschappen.
Waarom Roblox accounts echte geldwaarde hebben en mogelijke straffen
Roblox accounts hebben waarde door verschillende factoren, zoals Robux saldi, zeldzame en beperkte items die niet opnieuw te verkrijgen zijn, jaren aan voortgang in het spel, ontgrendelingen, prestaties en toegang tot premiumcontent. Het platform stelt accounteigenaren ook in staat om via Roblox Studio zelf items te maken en te verkopen, wat de commerciële waarde van gevestigde accounts verder vergroot.
De drie verdachten worden aangeklaagd op grond van artikel 185 van het Oekraïense strafwetboek (diefstal) en artikel 361 (ongeoorloofde inmenging in IT-systemen). Beide aanklachten kunnen leiden tot een maximale gevangenisstraf van 15 jaar. Het onderzoek loopt nog, terwijl de autoriteiten proberen meer medeplichtigen en slachtoffers die met de groep verbonden zijn, te identificeren.